Il team Vupen Security al Pwn2Own 2012 si è messo in mostra per aver “bucato” Google Chrome dopo una inviolabilità durata per anni e ora anche per essere riuscito a violare la sicurezza di Internet Explorer 9. Un ottimo risultato per il team francese che oltre alla visibilità ottenuta in questa manifestazione ora può contare anche sui 60.000 dollari che arrivano dalla ricompensa di Google.
Tornando al discorso Internet Explorer le vulnerabilità messe in luce dal team Vupen Security sarebbero addirittura due: si tratta di un bug nell’heap overflow e un altro nella gestione della memoria che permettono di eseguire del codice esterno dalla sandbox.
Quello che è degno di nota è che mentre nel caso di Google Chrome si è trattato di una vulnerabilità difficile da scovare perché richiedeva una conoscenza approfondita del browser di Big G, nel caso di Internet Explorer si tratta di due vulnerabilità che sono conosciute fin dai tempi di IE6.
La patch di sicurezza di Windows 7 SP1 non è bastata a fermare il team Vupen che è riuscito ad attaccare la sicurezza del browser del colosso di Redmond. Addirittura queste due vulnerabilità sarebbero presenti anche sulla consumer preview di Internet Explorer 10, versione del browser che debutterà a bordo del s. o. Windows 8.
Il co-fondatore di Vupen, Chaouki Bekrar, sostiene che Internet Explorer presenta diversi bug relativi alla sicurezza di cui alcuni che si protraggono da versioni datate del browser.
Il Pwn2Own 2012 dunque ha messo a tappeto (tra l’altro con una certa facilità) i due browser più utilizzati al mondo!
