Google Chrome, imbattibilità caduta

Mentre il primo giorno del Pwn2Own, il ritrovo annuale per hacker, volgeva al termine lo scorso mercoledì, nessun browser aveva subito più violazioni di Google Chrome. Il browser di Mountainview è caduto vittima di un attacco che ha sfruttato una vulnerabilità ancora sconosciuta dell'ultima versione. Se a questo si aggiunge che in un evento separato sponsorizzato dalla stessa Google e che si teneva a pochi chilometri di distanza, Chrome ha subito un secondo attacco zero-day.

Si tratta comunque di un evento piuttosto raro, non ci sono infatti notizie di attacchi zero-day che abbiano colpito Chrome nel quotidiano e nei passati 3 anni, il browser di Google ne è sempre uscito pulito e inviolato, mentre Internet Explorer, Firefox e Safari avevano tutti e tre subito attacchi più o meno gravi. La ragione principale che ha aiutato Chrome ad essere il browser meno violato degli ultimi anni è sicuramente il sandbox, che isola i contenuti web all'interno di un perimetro ristretto e separato dal resto del sistema operativo.

"Abbiamo pwnato Chrome per rendere chiaro il messaggio a tutti" ha detto Chaouki Bekar, il CEO della Vupen Security, coloro che hanno messo a segno il primo attacco zero-day su Chrome "Volevamo mostrare che pure Chrome può essere violato".

Come detto, questo non è stato l'unico caso. In un secondo evento, che Google ha chiamato "Pwnium", un certo Sergey Glazunov ha sferrato un attacco che gli ha permesso di bucare il sandbox e eseguire codice sulla macchina. Scherzeto che gli è valso il premio di 60000 dollari messo in palio da Google.