Google ha annunciato la competizione Pwnium 2, una gara a chi scopre importsnti vulnerabilità in Chrome che si svolgerà il 10 ottobre di quest’anno e che prevede fino a due milioni di dollari in premi. Di questi, 60.000$ sono per chi scopre exploit di Chrome in Windows 7 (aggiornato con gli ultimi service pack), 50.000$ per chi scopre exploit parziali di Chrome (che sfruttano almeno un bug del browser), 40.000$ per chi individua vulnerabilità che sfruttano software di terze parti come un bug di Windows o nel Flash player; altre somme sono previste per chi invidia falle incomplete (es. la possibilità di attivare comandi nella sandbox senza però riuscire a inviare comandi all’infuori della stessa).
La macchina di prova da utilizzare è un notebook Acer Aspire V5-571-6869 sul quale è installato Windows 7 aggiornato con tutti gli ultimi update (il computer, un notebook di fascia bassa, sarà tra l’altro un omaggio che sarà donato allo scopritore del bug ritenuto più interessante). Gli exploit dovranno essere serviti dall’App engine di Chrome sfruttando un meccanismo di autenticazione con password e protocollo HTTPS e il bug dovrà essere del tutto nuovo (non saranno accettate vulnerabilità già note o documentate).
A marzo di quest’anno, hacker riuniti al CanSecWest sono riusciti a far cadere Chrome individuando due vulnerabilità nella versione Windows del prodotto. Google ha ammesso la sconfitta (sborsando assegni per 60.000$) e Justin Schuh, responsabile della sicurezza di Chrome è rimasto colpito dalle capacità degli hacker definendo “impressionante” l’impresa poiché solo una profonda comprensione di come funziona il browser della grande G lo ha reso possibile.
[A cura di Mauro Notarianni]