Chrome bezwijkt twee keer onder hackers

Dit jaar slaagde een team van het Franse bedrijf Vupen al op de eerste dag in het kraken van de Google-browser. Ze maakten gebruik van 2 kwetsbaarheden in Chrome, draaiend op Windows 7. Dat meldt Computerworld.

Frans team was al na 5 minuten klaar

De Fransen waren al 5 minuten na de start klaar. Ze maakten onder andere gebruik van een zogeheten 'sandbox-escape'. Dat is een truc om de beschermende laag rond de browser - die moet verhinderen dat malware uit de browser ontsnapt en het besturingssysteem infecteert - te omzeilen.

Daarnaast wist het team van Vupen enkele andere beveiligingsmechanismen van Windows te omzeilen: data execution prevention (DEP) en address space layout randomization (ASLR).

Zelfde team kreeg ook Internet Explorer op de knieën

Vupen slaagde er donderdagmiddag overigens ook nog in Internet Explorer, de browser van Microsoft, op de knieën te krijgen. De Franse onderzoekers wisten onder meer de Protected Mode te omzeilen en kregen IE9 op Windows 7 daarmee volledig in hun macht, aldus een bericht van Tipping Points Zero Day Initiative (ZDI) op Twitter. Verder werden gisteren punten verdiend met een kleinere hack van Safari, de browser van Apple.

Of het team van Vupen uiteindelijk een van de uitgeloofde prijzen van 60.000, 30.000 of 15.000 dollar in de wacht sleept, zal vandaag (vrijdag) blijken als de einduitslag bekend wordt gemaakt. Pwn2Own werkt met een puntensysteem en bij iedere geslaagde hack worden punten verdiend.

Google organiseert dit jaar zijn eigen wedstrijd

Google trok zich vorige week terug als sponsor van Pwn2Own, omdat het bedrijf bezwaar maakte tegen het wedstrijdreglement. Daarin staat onder meer dat hackers niet hoeven te onthullen hoe ze een sandbox-escape exploit voor elkaar hebben gekregen.

Voor het eerst organiseert Google daarom dit jaar een eigen hackevenement, Pwnium genaamd, met een totale prijzenkas van 1 miljoen dollar, verdeeld over prijzen van 20.000, 40.000 en 60.000 dollar. Pwnium is niet zozeer een wedstrijd als wel een driedaagse periode waarin onderzoekers aan specialisten van Google kunnen laten zien hoe ze de beveiliging van Chrome hebben gekraakt.

Oudgediende ontdekt eerste kwetsbaarheid

De eerste melding van een geslaagde hack in het kader van Pwnium is inmiddels ook binnen. Volgens Google komt onderzoeker Sergey Glazunov hiermee in aanmerking voor de hoogste prijs, die van 60.000 dollar. Dat zei Sundar Pichai, vicepresident van Google voor Chrome. Glazunov zal echter nog een tweede lek moet ontdekken om de prijs daadwerkelijk te ontvangen.

Glazunov is een oude bekende. Hij was in 2011 de onderzoeker die, na medewerkers van Google zelf, de meeste bugs in Chrome aanmeldde. Glazunov is ook zeer actief in het leveren van bijdragen aan Chromium, het opensourceproject van Google rond Chrome.

Prompt maakte Pichai bekend dat Google werkt aan een patch om Chrome tegen de door Glazunov ontdekte kwetsbaarheid te beschermen. Zoals gebruikelijk zal de patch stilletjes worden geïnstalleerd terwijl de gebruiker met de browser werkt.