In appena 24 ore Google ha risolto il bug emerso in occasione dell’apposito contest nel quale il gruppo ha messo a disposizione un montepremi pari a 1 milione di dollari per chi fosse riuscito a colpire il browser Chrome senza sfruttare vulnerabilità di prodotti terzi. Esattamente la dimostrazione di forza che il gruppo intendeva fornire, insomma: una lauta somma per “scoprire” la falla, un intervento immediato per risolverla e la dimostrazione di un modus operandi in grado di mettere in massima sicurezza il proprio browser in tempi estremamente ristretti.
La falla è stata peraltro segnalata in parallelo al contest Pwn2Own: Google non ha gradito la regola per cui la scoperta delle vulnerabilità non costringa l’autore a notificare il problema alla casa produttrice. Google ha così mosso il proprio contest alternativo, con tanto di premio maggiorato per gli autori delle scoperte, così da raccogliere un maggior numero di segnalazioni e poter conseguentemente passare alle patch senza trattative ulteriori. Lo scontro nasce da una dicotomia già nota nel mondo della sicurezza, con Google pronto a pagare per le collaborazioni esterne ed altri gruppi invece attivi in modo alternativo.
Il problema è stato identificato in Chrome da Sergey Glazunov, uno studente russo che tramite il proprio codice è riuscito a bypassare la sandbox del browser e ad aprire la calcolatrice sul pc vittima dell’attacco: così facendo è stata messa in luce la capacità di eseguire codice tramite il browser, lampante dimostrazione della violazione avvenuta. Glazunov si è aggiudicato così la massima posta in palio nella competizione Pwnium, un premio pari a 60 mila dollari su un montepremi complessivo da 1 milione di dollari.
[Ch-ch-ch-ch-ching!!! $60,000] Critical CVE-2011-3046: UXSS and bad history navigation. Credit to Sergey Glazunov.
24 ore più tardi l’aggiornamento di Chrome è però già in distribuzione. L’installer per Windows, Mac e Linux è disponibile al download e porta il browser alla versione 17.0.963.78. Gli utenti che già utilizzano Chrome non necessitano di alcun download poiché l’aggiornamento sarà effettuato in automatico.