Google patcht lekken vlak voor hackerwedstrijd

2 maart 2011
Google heeft 19 kwetsbare plekken in zijn browser Chrome gerepareerd. Daarvan hebben er 16 de kwalificatie ‘hoog’ meegekregen en de overige 3 ‘middelmatig’. Geen enkele kwetsbaarheid kreeg dit keer het stempel ‘kritiek’ opgedrukt, wat doorgaans gebeurt als een lek aanvallers in staat stelt aan de 'sandbox' van Chrome te ontsnappen.

Het merendeel van de lekken in Chrome (15) is gemeld door 9 verschillende onderzoekers van buiten Google. Zij ontvangen beloningen van in totaal 14.000 dollar voor hun medewerking. Het hoogste individuele bedrag dat is uitgekeerd was 3000 dollar.

De beveiligingslekken die nu zijn gepatcht, zitten in diverse onderdelen van Chrome. Het betreft onder andere WebGL, een applicatieprogramma-interface (API) voor het weergeven van 3D-beelden met behulp van hardwareversnelling. WebGL zit pas sinds begin februari in de nieuwe versie Chrome 9. Andere kwetsbaarheden bevonden zich in Scalable Vector Graphics (SVG), het onderdeel van Chrome dat vector-gebaseerde afbeeldingen en animaties genereert.

Technische details blijven voorlopig geheim
Een overzicht van alle security patches, met de bijbehorende beloningen, staat op de website van Google. Technische details over de bugs zijn echter (nog) niet toegankelijk voor buitenstaanders, omdat Google alle gebruikers eerst ruim de tijd wil geven om de update van Chrome te installeren.

Gebruikers van Chrome krijgen de zogeheten 'stable release' met versienummer 9.0.597.107 automatisch voorgeschoteld. De gepatchte versie kan ook apart worden gedownload bij Google. Er zijn versies beschikbaar voor Windows, Mac OS X en Linux.

Hackerwedstrijd Pwn2Own begint op 9 maart
In de aanloop naar de jaarlijkse hackerswedstrijd Pwn2Own heeft Google de beveiligingsinspanningen voor zijn browser geïntensiveerd, om het hackers zo moeilijk mogelijk te maken. Een jaar geleden deed Google een week voor de wedstrijd precies hetzelfde. Het evenement in de Canadese stad Vancouver, onderdeel van de beveiligingsconferentie CanSecWest, begint volgende week donderdag (9 maart). Onderzoekers nemen het tijdens Pwn2Own tegen elkaar op om zo snel mogelijk lekken in Internet Explorer, Firefox, Chrome en Safari bloot te leggen.

Prijzengeld van 20.000 dollar
Google heeft 20.000 dollar aan prijzengeld beschikbaar gesteld voor het kraken van Chrome tijdens de eerste 3 dagen van de bijeenkomst. Voorwaarde is dat de deelnemer erin slaagt aan de 'sandbox' van Chrome te ontsnappen en vanuit de browser een geslaagde aanval uitvoert op het gastsysteem. Als na 3 dagen nog niemand Chrome op de knieën heeft gekregen, halveert Google het prijzengeld en neemt HP-dochterbedrijf TippingPoint de resterende 10.000 dollar voor zijn rekening.

Vorig jaar slaagde de Nederlander Peter Vreugdenhil er tijdens Pwn2Own in Internet Explorer 8 te kraken. Dat leverde hem een baan op bij sponsor TippingPoint in de Verenigde Staten.

Lees meer over
Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.