Finora Google Chrome era stato finora il browser più resistente agli attacchi hacker. Ora, per, anche il software per la navigazione di Mountain View è stato violato, mettendo in evidenza una vulnerabilità potenzialmente in grado di portare ad attacchi 0-day che metterebbero a rischio l’intera fetta di utenti che ha scelto Chrome per l’esperienza sul Web quotidiana.
Ad aggirare le impostazioni di sicurezza implementate da Google sono stati i ricercatori di Vupen, i quali hanno comunicato di aver superato la sandbox del programma semplicemente aprendo una pagina Internet realizzata con lo scopo di eseguire del codice da remoto, codice in grado di avviare la calcolatrice senza alcuna azione dell’utente.
Nel commentare l’accaduto i ricercatori di Vupen hanno dichiarato:
Sebbene Chrome abbia una delle sandbox più sicure e sia sempre sopravvissuto ai contest Pwn2Own negli ultimi tre anni, abbiamo ora un modo per eseguire codice arbitrario su qualsiasi installazione di Chrome nonostante sandbox, ASLR e DEP.
Dell’exploit è stato pubblicato anche un video dimostrativo che trovate a fondo post. I dettagli resi noti indicano che ad essere violata è stata la release Chrome v11.0.696.65 funzionante su sistema operativo Microsoft Windows 7 SP1.
Per non mettere a rischio la sicurezza degli utenti non sono stati resi noti altri particolari dell’attacco, che adesso sarà sicuramente studiato da Google in modo da trovare una soluzione alla falla senza causare disagi agli utenti.
[youtube c8cQ0yU89sk]