Google Chrome è stato bucato da VUPEN

Google Chrome

Capita anche ai migliori. Ebbene sì, la nota società di sicurezza VUPEN è riuscita nell’intento di bucare il browser di casa Google sui sistemi della famiglia Windows. La notizia è di chiaro interesse in quanto Chrome sembrava ormai inattaccabile, sopravvissuto, unico al mondo, a tre contest Pwn2Own consecutivi.
La vulnerabilità è stata verificata su Chrome 11 e 12 (Chrome v11.0.696.65 e v12.0.742.30), su Windows 7 SP1 (32 e 64 bit) con tutte le protezioni attive, quindi ASLR (Address Space Layout Randomization) e DEP (Data Execution Prevention) oltre che, ovviamente, la sandbox di Chrome.
Navigando su un sito contenente l’exploit, VUPEN è riuscita a fare eseguire a Chrome, silenziosamente e senza crash alcuno, codice remoto (nell’esempio una calcolatrice) coi permessi dell’utente con cui lo stesso browser gira e fuori dalla sua sandbox protetta.