A quanto pare è stato trovato il modo di uscire dalla sandbox di Chrome. Quello che è interessante nell’annuncio di questa società francese è che la vulnerabilità non sarà pubblicata. A dire il vero, non è nemmeno chiaro se verrà comunicata a Google per essere corretta:”This code and the technical details of the underlying vulnerabilities will not be publicly disclosed. They are shared exclusively with our Government customers as part of our vulnerability research services“.Magari poi i datori di lavoro di VUPEN comunicheranno la vulnerabilità a Google, ma è legittimo chiedersi se nel frattempo non avranno la tentazione di utilizzare la vulnerabilità contro qualche avversario, politico o economico che sia.
Bisogna farsene una ragione: il tempo delle “vulnerabilità note” su cui si basa molta dell’attuale sicurezza, a partire da buona parte dei prodotti di IDS/IPS/WAF, ma anche antivirus e compagnia (e buona parte dell’attuale vulnerability assessment) è finita: dovremo rapidamente abituarci ad avversari che conoscono vulnerabilità non pubblicate. Questo almeno per le aziende che trattino dati o informazioni di valore. Perché VUPEN ha pubblicato questa notizia, senza pubblicare o voler pubblicare l’exploit? Per la pubblicità, direi. Il che vuol dire che chi non è interessato alla pubblicità, non fa neppure questi annunci…
