Chrome 9, sandbox a pokusy hackerů

Organizátoři věří, že Goohle Chrome vydrží první den hackerské soutěže skupiny Pwn2Own bez kompromitace. Účastníci akce by museli dokázat vedle sebe zneužít hned dvě zranitelnosti, v kódu samotného prohlížeče a v sandboxu. Chrome 9 právě jednu chybu v sandboxu opravil...


Viz také: Google nabízí za prolomení Chrome na Pwn2Own navíc 20 000 dolarů

Aaron Portnoy z pořádající společnosti Tipping Point/HP uvedl, že naopak očekává úspěch soutěžících u všech ostatních testovaných prohlížečů (Firefox, Internet Explorer, Safari), a to hned první den. V případě Chrome Portnoy pokládá za jeho nejzranitelnější část samotné jádro, komponentu WebKit použitou rovněž v Safari. Připraví-li si někdo zneužití chyby ve WebKitu, mohl by teoreticky uspět u obou prohlížečů.

 

V minulém týdnu uvedl Google Chrome ve verzi 9. Bezpečnostní novinky byly tentokrát zastíněny novými funkcemi, především akcelerací 3D grafiky. Google ale současně opravil 9 zranitelností, z toho 1 kritickou (2 byly označeny jako vysoce nebezpečné a 6 jako nízko rizikové). Ačkoliv podrobnější technické informace o záplatovaných chybách nejsou jako obvykle veřejně přístupné, je známo, že 1 ze zranitelností se týkala právě sandboxu, alespoň to tvrdí francouzská bezpečnostní společnost Vupen. Za report chyb Google tentokrát zaplatil 2 000 dolarů, což je relativně malá částka v porovnání s minulými měsíci (např. 14 000 dolarů v lednu: Rekordní částka za kritickou chybu v Chrome). Získal je Aki Helin z univerzity ve finském Oulu.

Sandoxu se týkala i oprava Chrome letos v lednu. Tato chyba měla navíc zajímavý dopad jinde. U Googlu se totiž inspirovala společnost Adobe, když uvedla sandbox v Acrobatu/Readeru verze X. Chyba v sandboxu Chrome tak zřejmě ohrožuje i zabezpečení těchto produktů, v tuto chvíli není ale jisté, zda stávající problémy mohou být zneužiti k úspěšnému vzdálenému spuštění kódu v Readeru X.

 











Komentáře