Cinque vulnerabilità e due workaround, per un totale di 4674 dollari che Google riconosce a coloro i quali hanno notificato all’azienda i problemi riscontrati sul browser Chrome permettendo agli sviluppatori di Mountain View di porre una pezza alla versione stabile del software. Per tutti gli utenti è ora disponibile al download la nuova versione 5.0.375.125.
Con un annuncio pubblicato sul blog ufficiale Google Chrome, il gruppo ha notificato la scoperta delle vulnerabilità indicandone una di bassa pericolosità, una di media pericolosità e tre di alta pericolosità. Secunia fotografa la gravità dei problemi emersi sottolineando la possibilità di attacchi remoti con corruzione della memoria. I due workaround consentono invece di prevenire exploit relativi a glibc ed al kernel Windows, aumentando così la sicurezza relativa per l’utente utilizzante il browser. Google segnala inoltre di aver compreso gli aggiornamenti anche nel parallelo progetto Chromium che anticipa le novità del browser per i beta tester. Ogni aggiornamento del browser per l’utenza che già ne utilizzava la versione antecedente sarà silente ed automatico.
Occorre sottolineare come la segnalazione del “prezzo” riconosciuto agli autori delle scoperte delle vulnerabilità è di per sé significativo. Google, infatti, intende imporre un nuovo tipo di filosofia nell’ambiente, offrendo un valore crescente sulla base della pericolosità del bug scoperto e creando un mercato di tipo domanda/offerta che instilla l’idea di un mercimonio delle vulnerabilità su cui costruire un vero e proprio mercato. Microsoft, da parte sua, si schiera invece su fronte opposto.
Come spiegato da Feliciano Intini sul NonSoloSecurity Blog: «è giusto pagare in denaro chi scopre le vulnerabilità, come già alcuni vendor (Google e Mozilla, per esempio) hanno iniziato a fare? La risposta che traspare dal post precedente è che Microsoft non intende pagare in denaro ma sicuramente ricompensare in altri modi la comunità dei ricercatori di sicurezza per questa importante collaborazione. […] Pensiamo un attimo allo scenario che si verrebbe a creare con la “liberalizzazione” del mercato delle vulnerabilità: quanto l’ecosistema sarebbe in grado di mantenerlo un mercato virtuoso, e quanto sarebbe invece alto il rischio di vederlo viziare dalle dinamiche tipiche indotte dalla legge della domanda e dell’offerta? D’altra parte il mercato nero delle vulnerabilità è gia purtroppo molto attivo e lucroso: “liberalizzare” servirebbe a ridurre quel fenomeno underground?». Il problema è dunque tanto legato alla sicurezza quanto alla sostenibilità economica del sistema che la garantisce. E la filosofia di approccio di Microsoft e Google sul tema è, ancora una volta, agli antipodi.