[Chrome] Bug scovato da un hacker risolto in 24 ore

Torniamo a parlare della “disfatta” di Chrome avvenuta durante gli eventi Pwnium e Pwn2Own per segnalare, questa volta, un “record” segnato da parte del team di Chrome.
Il bug, che ancora non è stato formalizzato ufficialmente, è stato risolto in meno di 24 ore dagli sviluppatori del browser.

Questo risultato è stato possibile grazie alla natura open source di Chrome (che viene sviluppato a partire da Chromium) che permette quindi un approccio molto rapido alla risoluzione di vulnerabilità. Questo approccio è diverso rispetto a quello monolitico di aziende quali Microsoft e Apple per le quali le variazioni di codice devono subire rigorose procedure di test di Assicurazione Qualità, cosa che porta inevitabilmente a ritardi anche di mesi nel rilascio di un bug fix.

Per quanto riguarda il bug, ulteriori indiscrezioni parlano di una vulnerabilità di tipo UXSS e legata ad una cattiva procedura di navigazione della cronologia. L’attacco, avvenuto durante la competizione Pwnium, sponsorizzata da Google stessa, è stato memorabile. L’hacker, tale Sergey Glaznov, è riuscito a sfruttare codice nativo di Chrome al fine di bucare la protezione della sandbox (che isola il contenuto Web dalle risorse del sistema operativo).
Altre vulnerabilità molto sfruttate, solitamente, sono legate al plugin di Adobe Flash. Sembra che proprio questo tipo di problema di sicurezza sia alla base dell’hacking avvenuto durante la competizione Pwn2Own.

Via | Ars Technica

Pubblicato da

Tweet