Několik bezpečnostních inženýrů Googlu se ohradilo proti tvrzení francouzské společnosti Vupen, která se počátkem tohoto týdne pochlubila, že se jí díky zranitelnosti v Chromu podařilo obejít ochranné prvky tohoto prohlížeče a objevila tak nový způsob, jak infikovat cizí počítač. Vupenu se podle svých slov povedlo obejít nejen technologii sandbox, která spouští weby v samostatných procesech izolovaných od zbytku systému, ale i bezpečnostní nástroje DEP a ASLR operačního systému Windows 7. Více se můžete dočíst v článku Výzkumníci pokořili Chrome, nezastavil je ani sandbox.
Oficiálně sice Google existenci zranitelnosti v Chromu nepopřel. „Stále probíhá vyšetřování, protože nám Vupen dosud nesdělil žádné podrobnosti,“ řekl pouze mluvčí společnosti. Podle pracovníků Googlu však není chyba v prohlížeči Chrome, ale v Adobe Flash Playeru, který je do něj již déle než rok přímo integrován.
Podle Tavise Ormandyho, bezpečnostního inženýra Googlu, je opět všechno jinak, než se uvádí v médiích. „Vupen vůbec neporozuměl tomu, jak sandboxing v Chromu funguje, pouze využil chyby ve Flashi,“ píše na svém účtu sítě Twitter. Souhlasí s ním i další bezpečnostní pracovníci Chris Evans a Justin Schuh. Nikdo podle nich netvrdí, že útok Vupenu není proveditelný. Pouze za něj nemůže zranitelnost prohlížeče Chrome.
Kdo má pravdu, se jen tak nedozvíme. Vupen totiž odmítá zveřejnit jakékoliv detaily svého útoku. Dá je k dispozici pouze tomu, kdo za ně zaplatí. „Nebudeme pomáhat Googlu při hledání zranitelností. Nikdo, kromě nás a našich zákazníků, neví, jak obcházíme sandbox. Jakákoliv tvrzení jsou spekulace,“ říká Chaouki Bekrar, generální ředitel Vupenu. Google se podle něj snaží chybu bagatelizovat. Na druhou stranu je to prý ale obvyklá reakce.