Chrome: Vupen reclama di aver violato la sandbox, Google risponde no

C'è stato un certo fermento nella giornata di ieri, quantomeno tra gli appassionati di sicurezza informatica, quando l'azienda francese VUPEN Research ha annunciato di aver finalmente violato la sandbox di Google Chrome, browser finora inattaccabile anche di fronte ai tentativi dei massimi esperti in occasione della conferenza Pwn2Own. Con tanto di video, VUPEN ha testimoniato la violazione di sicurezza in Chrome 11.0.695.65, ultima "stable" del browser targato Google, su un computer dotato di Windows 7 a 64 bit: come prova del riuscito esperimento, l'esecuzione di un codice da sito web in grado di avviare la calcolatrice del sistema operativo.

Dopo la notizia fatta circolare da VUPEN, non ha tardato ad arrivare la risposta di Google, che ricordiamo offrì addirittura 20.000$ a chi proprio durante il Pwn2Own sarebbe riuscito a violare la sicurezza di Cr-48 con Chrome OS, dimostrandosi così piuttosto fiduciosa sul livello di affidabilità dei suoi prodotti: infatti, anche in questo caso gli esperti Google hanno contestato le affermazioni di VUPEN, sostenendo che il bug sfruttato per l'exploit è relativo ad Adobe Flash e non quindi al browser in sé.

Secondo quanto ha riportato un portavoce Google, le indagini starebbero comunque andando avanti un po' a rilento perché VUPEN non ha condiviso nessun dettaglio con la società di Mountain View. Non manca neanche una frecciata nei confronti di chi ha lanciato la notizia senza accertarsi dei fatti, twittata dal security engineer di Google Chris Evans, che ribadisce l'aver preso fischi per fiaschi da parte di VUPEN con un bug di Flash scambiato per un bug di Chrome.

Le politiche aziendali di VUPEN tra l'altro non prevedono la cooperazione con altre aziende, anche in caso di scoperta di eventuali bug come quello reclamato nelle scorse ore: se Google vorrà avere supporto dalla società francese dovrà infatti pagare. A questo punto, la domanda sorge spontanea: è Google a volere sminuire la falla attribuendola a Flash, o VUPEN a cercare un po' di pubblicità gratuita?

Via | Ghacks.net | Computerworld.com

  • shares
  • Mail