Trattavasi di vana gloria: lo scorso Marzo il browser Chrome sembrava essere uscito illeso da una gabbia di hacker pronti a scovarne vulnerabilità da mettere sulla pubblica piazza in cambio di consistenti premi in denaro. A distanza di pochi mesi scaturisce invece la verità: sebbene Chrome sia scampato ai meccanismi della competizione, in realtà il browser di Google non sarebbe però uscito realmente incolume poiché vulnerabile al pari di Apple Safari.
Durante il Pwn2Own Hacking Contest Safari è stato il primo browser a cadere sotto i colpi del già noto Charlie Miller (il quale ha peraltro rincarato la dose ritenendo lo stesso Safari «pieno di bug»). Hanno seguito a ruota Internet Explorer 8 e Firefox. Con il passare delle ore e con il cambio delle regole (sempre più lascive a mano a mano che il contest prosegue) si è giunti a fine evento senza che Chrome fosse preso di mira da alcuna segnalazione.
A distanza di due mesi dal Pwn2Own Chrome fa pubblica ammenda: il fix dichiarato è il CVE-2009-0945 ed è relativo ad «un problema nel codice WebKit già riscontrato nel browser Safari. Non ne abbiamo parlato finché Apple non ha distribuito un aggiornamento per Safari». Nonostante le apparenze, quindi, Chrome non può vantare l’incolumità dal primo Pwn2Own uscendone macchiato a causa di WebKit. Il problema risulta però essere più grave in Safari che non in Chrome, potendo il browser Google godere di alcuni privilegi in grado di isolare il software dal resto del sistema (così come per IE su Windows Vista e Windows 7).
Gli aggiornamenti seguenti il Pwn2Own sono giunti in primis da Chrome, pronto all’update in 3 giorni nonostante soltanto oggi ne venga illustrata la motivazione. Nel giro di breve è stato il momento di Firefox, aggiornato in data 27 Marzo. Safari è stato aggiornato soltanto nei giorni scorsi, lasciando così a Google la possibilità di spiegare le proprie azioni. Secondo alcuni, spiega ComputerWorld, IE non sarebbe ad oggi stato ancora aggiornato sebbene IE8 fosse al riparo già al rilascio nei giorni seguenti il Pwn2Own purché avviato sotto Windows Vista SP1 o Windows 7.