Vupen, società di sicurezza francese, ha scoperto diverse vulnerabilità zero-day in Windows 8 e Internet Explorer 10, riuscendo ad eseguire codice remoto attraverso una pagina web. L’annuncio è stato pubblicato su Twitter dal CEO Chaouki Bekrar, ma non è stato divulgato nessun dettaglio sul modo in cui sono state superate le difese del sistema operativo. Vupen infatti non informa le software house interessate, ma vende le sue ricerche a chiunque sia disposto a pagare somme elevate per proteggere i propri computer.
L’azienda francese ha individuato diversi bug in Windows 8 e in Internet Explorer 10 che sono stati combinati insieme per eseguire codice remoto mediante una pagina web, superando tutte le tecnologie di sicurezza implementate nel nuovo sistema operativo Microsoft. Un portavoce della software house di Redmond ha dichiarato che nessun dettaglio sulle vulnerabilità sia stato condiviso, consigliando quindi ai ricercatori di partecipare al programma Coordinated Vulnerability Disclosure. Ovviamente questo suggerimento non verrà accolto da Vupen, in quanto il suo business consiste nella vendita delle informazioni al miglior offerente e tra le parti v’è pertanto un contrasto anzitutto in termini di principio sull’approccio da tenere nei confronti di bug e problemi di sicurezza.
Con un secondo tweet Vupen ha spiegato che gli exploit zero-day permettono di bypassare ben quattro tecnologie di sicurezza: HiASLR (High-entropy Address Space Layout Randomization), AntiROP (Anti-Return Oriented Programming), DEP (Data Execution Prevention) e la sandbox Protected Mode di Internet Explorer 10, senza l’uso di Flash. Nonostante ciò, Chaouki Bekrar considera Windows 8 il sistema operativo più sicuro tra quelli realizzati da Microsoft. I cybercriminali non riusciranno in poco tempo a sfruttare le vulnerabilità, in quanto lo sviluppo di un exploit richiede un costo troppo elevato.
Windows 8 è in vendita da circa una settimana, per cui gli utenti non corrono al momento alcun rischio. Microsoft dovrà però trovare al più presto una soluzione e distribuire una patch di sicurezza, ma ciò avverrà solo se l’azienda di Redmond riuscirà ad individuare le vulnerabilità. Il tutto, però, senza avvalersi dell’aiuto di Vupen.