QR code per la pagina originale

Chrome puzza di Microsoft

A diversi giorni dall'uscita di Chrome emerge che tra le varie componenti open del programma ce ne sono anche di appartenenti a Microsoft. Una delle quali non documentata da nessuna parte e ricavata da Mountain View attraverso reverse engineering

,

Una delle più grandi lamentele emerse nella rete all’indomani della prima beta di Chrome è stata la mancanza di una versione per Mac. Sembra però ora che la ragione dietro tale mancanza sia da imputare alla maggiore facilità di programmare l’interfaccia per Windows grazie ad alcuni progetti open source di Microsoft.

Dunque in Chrome, nonostante nessuno lo abbia riconosciuto, oltre a materiale a codice aperto da WebKit e Firefox ci sarebbe anche del codice libero di Windows. È stato Scott Hanselman, un programmatore Microsoft, a scoprirlo ed a postare tutto quanto sul proprio blog. La cosa non è un mistero nè un reato, solo che non era stata dichiarata apertamente come era accaduto per gli altri programmi.

Il progetto in questione si chiama Windows Template Library, serve a costruire interfacce utente per Windows, e sulla pagina che illustra il progetto open di Chrome risulta regolarmente elencato. Tuttavia l’indagine su tale componente ha portato alla scoperta di un’altra parte di Microsoft curiosamente impiegata in Chrome.

Si tratta sempre di un’interfaccia che Google avrebbe utilizzato per far funzionare una tecnologia nota come Data Execution Prevention, utile a prevenire e bloccare diverse tipologie di attacco, in ambiente Windows XP SP2. La particolarità è data dal fatto che in Microsoft si sostiene che tale interfaccia non sia documentata, cioè che non esistano in rete documenti che ne riportano il funzionamento o il codice, poichè inizialmente era indirizzato ad un uso unicamente interno.

Il problema è che se la compagnia sceglie di non documentare tali API vuol dire che non ne prevede l’utilizzo da parte di software di terze parti e può succedere che futuri aggiornamenti del sistema operativo la rendano incompatibile. Ma ancora di più ci si è chiesti come abbia potuto Google utilizzarla se non è documentata. La risposta è scritta nel codice sorgente di Chrome dove Mountain View sostiene di aver lavorato di reverse engineering su Vista, cioè ha utilizzato una pratica tipica dell’hacking per risalire al codice sorgente dal software in esecuzione. Chiaro il commento di Feliciano Intini, esperto di sicurezza in casa Microsoft: «Altra particolarità lato security è la strana modalità con cui Chrome ha utilizzato le nuove API per la gestione della funzionalità di Data Execution Prevention (DEP/NX) rilasciate con Windows Vista SP1, Windows XP SP3 e Windows Server 2008: per poterle utilizzare anche su Windows XP SP2 hanno fatto ricorso ad una API non documentata, forse recuperata disassemblando una parte del codice del Windows Kernel… Non c’è che dire, l’intento di utilizzare il più possibile il DEP è sicuramente nobile, un piccolo punticino a favore degli aspetti di sicurezza di Chrome, in un momento sicuramente non felice».

Notizie su: