Capita anche ai migliori. Ebbene sì, la nota società di sicurezza VUPEN è riuscita nell´intento di bucare il browser di casa Google sui sistemi della famiglia Windows. La notizia è di chiaro interesse in quanto Chrome sembrava ormai inattaccabile, sopravvissuto, unico al mondo, a tre contest Pwn2Own consecutivi.
La vulnerabilità è stata verificata su Chrome 11 e 12 (Chrome v11.0.696.65 e v12.0.742.30), su Windows 7 SP1 (32 e 64 bit) con tutte le protezioni attive, quindi ASLR (Address Space Layout Randomization) e DEP (Data Execution Prevention) oltre che, ovviamente, la sandbox di Chrome.
Navigando su un sito contenente l´exploit, VUPEN è riuscita a fare eseguire a Chrome, silenziosamente e senza crash alcuno, codice remoto (nell´esempio una calcolatrice) coi permessi dell´utente con cui lo stesso browser gira e fuori dalla sua sandbox protetta.
Interessante il video su YouTube che mostra il crack.
Come conclusione, vale affermare che Chrome rimane, comunque, il più sicuro browser esistente, ma la notizia serva a disilludere quanti pensano che la sicurezza informatica sia un argomento secondario che può esser ignorato semplicemente scegliendo un software anziché un altro: mai abbassare la guardia.
[youtube c8cQ0yU89sk]