Pochi giorni fa avevamo parlato dei premi che Google era pronta ad elargire a chiunque fosse riuscito a trovare e sfruttare produttivamente vulnerabilità nel suo browser, che si vantava di essere praticamente inattaccabile.
Bene: a Mountain View dovranno staccare un bell'assegnino da 60mila dollari al Team Vupen, che in soli 5 minuti è riuscito a violare quello che fino a poco tempo fa era il campione imbattuto della categoria.
Per quanto possibile proviamo ad entrare più nei dettagli: in pratica il team ha realizzato un exploit zero-day che ha permesso di eludere i controlli di sicurezza della sandbox di Chrome ed eseguire codice da remoto. Il tutto senza crash, messaggi di errore e/o segnali che possano insospettire l'utente.
Il Team riceverà il premio, oltre a 32 punti validi per la classifica finale del Pwn2Own 2012, a patto di non rivelare a nessuno che non sia l'azienda i dettagli del proprio expolit.
Quest'ultimo poi, nonostante probabilmente non ne conosceremo mai i dettagli, è davvero interessante perchè riguarda il codice vero e proprio di Chrome (cioè appartiene alla categoria di bug meglio remunerati in caso di scoperta) e mette l'azienda in una condizione che degna del miglior epic fail.
Proprio nell'anno in cui in casa Google hanno puntato tutto sulle condizioni di sicurezza del proprio browser (mai bucato da nessuno nelle tre edizioni precedenti della kermesse) è stato scoperto un bug piuttosto importante.
Ad ogni modo più che i 60mila dollari di premio che sono ben poca cosa per l'azienda, ad arricchire il Team Vupen saranno anche gli altri premi conquistati: infatti i componenti della crew di programmatori (il cui leader e scopritore del bug di Chrome, dal nome di battaglia Glazunov, collabora attivamente con il team di sviluppo di Chrome proprio nel campo della sicurezza) hanno dato spettacolo durante tutta la manifestazione, scoprendo anche vari bug in altri software.
