I ricercatori francesi sono riusciti ad effettuare un attacco superando in un sol colpo la sandbox del browser e le funzioni di sicurezza DEP (Data Execution Prevention), che serve ad impedire che codice maligno venga eseguito dalle aree dati, e ASLR (Address Space Layout Randomization), che permette di caricare in diverse posizioni di memoria codici eseguibili e librerie DLL.
Per documentare la falla individuata, i ricercatori di sicurezza hanno realizzato un filmato (vedi video in alto) in cui è possibile vedere che navigando su un sito Internet contenente una pagina realizzata ad hoc, viene eseguita automaticamente la calcolatrice di sistema senza mandare in crash il browser o visualizzare all’utente alcun messaggio di allerta. Si tratta solo di un esempio: un malintenzionato da remoto potrebbe compiere qualsiasi altro tipo di operazione, mettendo in pericolo l’integrità dei dati presenti sul disco rigido del PC vittima dell’attacco. Per il momento Google non ha rilasciato alcuna dichiarazione riguardo alla falla scoperta nel browser.
w.t.