Il mese di marzo vede lo svolgersi di due competizioni di hacking rivolto ai browser web: Pwn2own e Pwnium (quest'ultima indetta direttamente da Google per il suo browser Chrome - Chromium). La novità è che quest'anno, per la prima volta, sono state trovate e sfruttate vulnerabilità di Chrome.
Questa cosa non era mai successa prima d'ora. Nelle edizioni precedenti il browser di Google era stato l'unico a non essere toccato dagli exploit degli hacker partecipanti alla competizione.
Le ragioni della sicurezza di Chrome sono molte ma se dovessimo scegliere la più significativa, allora questa sarebbe il sistema sandbox, integrato nel browser, che isola il contenuto del browser all'interno di un perimetro molto ristretto e separato dal resto del sistema operativo. Per accedere alle risorse del sistema operativo è dunque necessario farlo attraverso apposite API che fungono da intermediari.
Peraltro, questo stesso principio è alla base di NaCl, il progetto di Google per eseguire codice nativo direttamente all'interno del browser.
Il responsabile dell'hacking al Pwn2own si chiama Vupen Security, una società francese, esperta in sicurezza informatica, che ha dichiarato di essersi preparata per un anno intero per questa impresa. Sembra inoltre che, sempre per quanto riguarda il Pwn2own, il sistema usato per hackerare Chrome si basi sulla vulnerabilità fornita dal palyer Flash di Adobe. A quanto sembra la natura di questo plugin è tale da rendere per così dire più poroso il muro che separa ciò che avviene nel browser dalle risorse del sistema operativo.
Staremo a vedere come finiranno queste due competizioni e, soprattutto, come reagirà la comunità di Chromium, il browser open source che da' origine a Chrome, per colmare le vulnerabilità scovate.
Via | Ars Technica
Nessun commento:
Posta un commento