Mozilla ammette l’errore e corre ai ripari in tempo record. La fondazione californiana, “mamma” del panda rosso di Firefox, ha segnalato un bug relativo al proprio browser di navigazione e prontamente ha risolto il problema segnalato da uno dei team partecipanti all’ultimo Pwn2Own. In corso dal 2007, si tratta di una competizione (sponsorizzata dalla Zero Day Iniziative) fra hacker “bianchi”, ovvero esperti di codice e di sicurezza che si divertono a trovare vulnerabilità in software di comune utilizzo, allo scopo di segnalarle alla comunità e di percepire laute ricompense. L’edizione di quest’anno si è chiusa con non poche bandierine rosse per sistemi operativi, applicazioni e plugin come Windows 10, macOS, Ubuntu Linux, Microsoft Edge (hackerato cinque volte durante la competizione), Apple Safari (quattro volte), Adobe Flash e – appunto – Firefox.
Quella rilevata dal gruppo di cybersecurity cinese Chaitin Security Research Lab è una vulnerabilità di tipo zero-day, cioè ancora non nota, che riguardava la versione 52.0.1 del browser. Appresa la notizia, Mozilla ha ammesso il problema segnalandolo come “critico” ma sottolinendo anche come, per fare danni sul Pc di una vittima, un attacco avrebbe dovuto sfruttare una seconda vulnerabilità (presente nel kernel di Windows) in contemporanea. Se sfruttato, il bug avrebbe comunque permesso a un malintenzionato di eseguire codice arbitrario sul computer preso di mira.
In meno di ventiquattrore, in ogni caso, gli esperti di Mozilla hanno risolto il problema, la cui segnalazione è valsa al team di Chaitin Security Research Lab una ricompensa di 30mila dollari. Bottino particolarmente ghiotto, 100mila dollari, è toccato invece al “Team Sniper” affiliato alla cinese Tencent Security: sfruttando una catena di tre diverse vulnerabilità, interne al kernel di Windows e al software di gestione delle workstation virtualizzate con Vmware, gli hacker sono riusciti a smentire la proverbiale sicurezza delle macchine virtuali.