Alla convention Pwn2Own 2012 si segnala la seconda vittima. Il browser di casa Microsoft, Internet Explorer 9, cade infatti sotto l’attacco degli hacker francesi di Vupen che mettono in cascina una seconda vittima illustre in pochi giorni dopo Google Chrome. E’ stata sfruttata una piccola falla per fare breccia nei sistemi di sicurezza del browser di Redmond e dalle parti di Microsoft si è già al lavoro per andare a correggere i bug, proprio grazie alle segnalazioni degli hacker transalpini.
Ricordiamo che al Pwn2Own 2012 non avvengono crimini né furti di dati o di informazioni sensibili. Al contrario è un convegno promosso dalle stesse società produttrici di internet browser. E’ logico: è un’occasione unica per mettere alla prova le proprie creature con i più bravi e esperti hacker mondiali. In pochi giorni i vari team di smanettoni mettono a nudo le difese dei browser scovando le imprecisioni.
C’è chi come Google mette anche a disposizione un premio in danaro, dato che comunque costerebbe di meno questo riconoscimento rispetto agli eventuali danni d’immagine e di riparazione di danni da intrusioni eventuali in futuro. Chrome è stato il primo browser a cadere sotto i colpi degli hacker, che hanno da subito puntato al software di Google, che l’anno scorso era uscito vergine.
Il merito di quest’impresa va riconosciuto sempre al medesimo team: i francesi del collettivo di Vupen hanno infatti cadere le due teste più importanti, a vantaggio degli stessi produttori. Logicamente sia Google sia Microsoft non sono affatto felici di questa caduta, ma possono sfruttarla per migliorarsi e per seguire le indicazioni fornite dagli stessi hacker. Che ricordiamo non sono cracker e dunque non hanno intenti criminali.
Per la cronaca, è stato utilizzato un computer con Internet Explorer 9 installato sul sistema operativo Windows 7 SP1 con tutte le protezioni attivate e aggiornate, ma la falla è stata scovata nel sistema di sicurezza sandbox, accedendo in modo diretto al sistema. Finirà così la competizione Pwn2Own alla conferenza annuale CanSecWest?