Chrome 9, sandbox a pokusy hackerů

8. 2. 2011

Sdílet

Organizátoři věří, že Goohle Chrome vydrží první den hackerské soutěže skupiny Pwn2Own bez kompromitace. Účastníci akce by museli dokázat vedle sebe zneužít hned dvě zranitelnosti, v kódu samotného prohlížeče a v sandboxu. Chrome 9 právě jednu chybu v sandboxu opravil...

Viz také: Google nabízí za prolomení Chrome na Pwn2Own navíc 20 000 dolarů

Aaron Portnoy z pořádající společnosti Tipping Point/HP uvedl, že naopak očekává úspěch soutěžících u všech ostatních testovaných prohlížečů (Firefox, Internet Explorer, Safari), a to hned první den. V případě Chrome Portnoy pokládá za jeho nejzranitelnější část samotné jádro, komponentu WebKit použitou rovněž v Safari. Připraví-li si někdo zneužití chyby ve WebKitu, mohl by teoreticky uspět u obou prohlížečů.

 

V minulém týdnu uvedl Google Chrome ve verzi 9. Bezpečnostní novinky byly tentokrát zastíněny novými funkcemi, především akcelerací 3D grafiky. Google ale současně opravil 9 zranitelností, z toho 1 kritickou (2 byly označeny jako vysoce nebezpečné a 6 jako nízko rizikové). Ačkoliv podrobnější technické informace o záplatovaných chybách nejsou jako obvykle veřejně přístupné, je známo, že 1 ze zranitelností se týkala právě sandboxu, alespoň to tvrdí francouzská bezpečnostní společnost Vupen. Za report chyb Google tentokrát zaplatil 2 000 dolarů, což je relativně malá částka v porovnání s minulými měsíci (např. 14 000 dolarů v lednu: Rekordní částka za kritickou chybu v Chrome). Získal je Aki Helin z univerzity ve finském Oulu.

ICTS24

Sandoxu se týkala i oprava Chrome letos v lednu. Tato chyba měla navíc zajímavý dopad jinde. U Googlu se totiž inspirovala společnost Adobe, když uvedla sandbox v Acrobatu/Readeru verze X. Chyba v sandboxu Chrome tak zřejmě ohrožuje i zabezpečení těchto produktů, v tuto chvíli není ale jisté, zda stávající problémy mohou být zneužiti k úspěšnému vzdálenému spuštění kódu v Readeru X.