Trænger igennem al sikkerheden i Chrome

Trænger igennem al sikkerheden i Chrome

Men har ikke fortalt Google om detaljerne.

Det franske selskab VUPEN Security meddelte i går, at det har fundet en sårbarhed i Google Chrome, der omgår alle de sikkerhedsforanstaltninger, i din browser.

Trænger igennem al sikkerheden i Chrome

Chrome indhold kører i en sandkasse, da det vil være meget vanskeligt at trænge ind ud af. Ud over at støtte de teknikker, som ASLR (Address Space Layout Randomization) og DEP (Data Execution Prevention), som giver ekstra lag af beskyttelse mod uønsket kode.

Meddelelsen fra VUPEN hører til de sjældne. Normalt er det Google selv angiver sårbarheder i Chrome, og da kun efter at de er blevet fjernet ved en sikkerhedsopdatering. Browseren har altid kommet igennem uskadt Pwn2Own den årlige konkurrencer, og der har været få eller ingen rapporter om succesfulde angreb om opdateret udgaver af Chrome.

Nu er det ikke sådan VUPEN er helt åben med, hvordan angrebet kan udføres. Hvad der er sagt, er, at sårbarheden i hvert fald findes i Windows-versionen af Chrome og angrebsforsøget fungerer i x64 udgave af Windows 7.

Dette demonstreres i videoen nedenfor.

Sårbarheden kan udnyttes ved at lokke brugere til at besøge en særligt udformet webside. I videoen demonstreres, dette ved at websiden får Chrome til at downloade et lommeregnerprogram fra en anden computer, og køre det på ydersiden af sandkassen til Chrome. VUPEN mener, at metoden er pålidelig.
Det er uklart, om VUNET vil dele oplysninger om sårbarheder med Google. Meddelelsen fastslår, at oplysninger vil blive delt med eksklusive VUNETs offentlige kunder.

En repræsentant for Google sagde i går aftes til CNET News, at selskabet ikke har modtaget nogen oplysninger om sårbarhed VUNET, og kan derfor ikke bekræfte, at den eksisterer.

Google uddeler penge for information om sikkerhedsspørgsmål, hvilket kan have bidraget til mange af de opdagelsesrejsende har hemmeligholdt sårbarheder til offentligheden, førend de sikkerhedsopdateringer er installeret. Men beløbene er nok ikke stor nok til, at virksomheden tager i alle de sikkerhedseksperter med ordningen.

Kilde: vupen

Lignende indlæg

• Se verden søgning på Google (0)
• Den første test af hvordan Google Tablet’s grænseflade vil se ud (0)
• Windows 8 sikkerheds hul demonstreret af sikkerhedsekspert (0)
• Verizon og Google laver en iPad konkurrent (0)
• TOP 15 STØRSTE KINESISKE WEBSITES (0)