Microsoft scopre un bug in Google Chrome

Il rapporto tra Microsoft e Google non è proprio idilliaco. Circa un anno fa, l’azienda di Mountain View aveva divulgato i dettagli di una vulnerabilità zero-day presente in Windows. All’inizio del mese aveva invece sottolineato la poca attenzione nei confronti degli utenti di Windows 7. La storia si arricchisce ora di una nuova puntata. Questa volta il protagonista è Chrome.

Il team Microsoft Offensive Security Research ha scoperto un bug nel browser di Google che può essere sfruttato per eludere la protezione della sandbox ed eseguire un attacco di tipo RCE (Remote Code Execution). La vulnerabilità è stata descritta in un articolo piuttosto dettagliato e abbastanza tecnico. In breve, il problema è stato individuato nell’interprete JavaScript V8 di Chrome. Microsoft ha scritto un exploit che causa la corruzione della memoria e consente di iniettare codice JavaScript nelle pagine visitate dall’utente. Durante la navigazione è possibile rubare diversi dati sensibili, come le credenziali di accesso ai servizi bancari.

Microsoft ha comunicato la sua scoperta a Google il 14 settembre 2017. L’azienda di Mountain View ha pubblicato un fix su GitHub dopo quattro giorni e rilasciato una nuova versione beta del browser tre giorni dopo. Secondo Microsoft, la divulgazione del codice sorgente del fix non doveva essere effettuata prima dell’inclusione della patch nella versione finale di Chrome, in quanto ciò poteva dare un vantaggio ad eventuali malintenzionati. Infatti, la versione stabile del browser è stata rilasciata un mese dopo.

Microsoft segue invece un approccio differente: prima distribuisce l’aggiornamento e poi pubblica i dettagli sulle vulnerabilità. L’azienda di Redmond ha approfittato dell’occasione per sottolineare che un bug simile a quello scoperto in Chrome non può essere sfruttato in Microsoft Edge, dato che il browser offre varie tecnologie di protezione, introdotte con Windows 10 Creators Update.