Sembrava essere rimasto illeso Google Chrome all’ultimo Pwn2Own che si è svolto nello scorso mese di marzo, eppure arriva oggi un annuncio che lascia perplessi. Il browser della società di Mountain View, tanto apprezzato, oltre che per le sue funzionalità, anche per la sua sicurezza, soffriva di un problema abbastanza serio.
Si tratta di un bug che era già presente al momento dello svolgimento del contest e che praticamente è identico al problema di cui soffriva anche Safari e per il quale il browser di Apple ha ceduto durante la gara di hacking.
Successivamente al contest tutte le aziende dei browser si erano attivate per rilasciare le proprie patch. Anche Google l’ha fatto, dopo soli tre giorni, ma il vero motivo dell’aggiornamento in fretta e furia è stato rivelato solo in questi giorni, successivamente alla distribuzione della patch correttiva per lo stesso problema da parte di Apple per Safari.
Anche Google così ha ammesso che, nonostante l’apparente vittoria al Pwn2Own, peraltro arrivata dopo progressivi cambiamenti delle regole del contest, per rendere più facile il proseguimento dei lavori, c’è stato qualche problema. È stata una confessione arrivata con le parole di Mark Larson, program manager di Chrome, sulle pagine del blog ufficiale del browser.
Stiamo rivelando che questa release contiene il fix per la falla CVE-2009-0945, un problema nel codice WebKit già riscontrato nel browser Safari di Apple. Non ne abbiamo parlato fino a che non è stata rilasciata una patch per Safari.
Il bug quindi si trova in WebKit per la gestione di oggetti SVGList, ma il problema comunque per Google non è così preoccupante come per gli utenti che utilizzano Safari, a causa della gestione separata delle pagine effettuata da Chrome che permette al programma, anche se viene effettuato un attacco in una pagina aperta in una finestra, di rimanere comunque isolato da altri eventuali attacchi.