Chrome je i přes opravy údajně stále zranitelný

26. 5. 2011

Sdílet

Společnost Google tento týden opravila několik zranitelností v prohlížeči Chrome, ale zástupci bezpečnostní firmy Vupen tvrdí, že zůstává stále napadnutelný.

Nová verze Chrome 11.0.696.71 je v současnosti distribuovaná uživatelům prostřednictvím automatických aktualizací, ale údajně neopravuje chybu, kterou pracovníci Vupenu označili za exploitovatelnou pod Windows 7.

Google celkem v Chrome opravil čtyři zranitelnosti, z toho dvě označené jako kritické, což je nevyšší úroveň, obvykle znamenající, že útočníci jejich prostřednictvím mohou překonat technologii sandboxu (ta izoluje běh prohlížeče od zbytku systému). Celkem Google v letošním roce opravil již pět kritických chyb. Další zranitelnost byla označena vysoce nebezpečná a výzkumník, který ji objevil, za ni získal odměnu 1 000 dolarů. Poslední chyba prý byla jen nízce nebezpečná.

Zástupci společnosti Vupen ale tvrdí, že zranitelnost, kterou použili v tomto měsíci k prolomení ochrany Chrome, zůstala neopravena a umožňuje nadále i ve verzi 11.0.696.17 překonat technologii sandboxu. Více viz článek Výzkumníci pokořili Chrome, nezastavil je ani sandbox, v němž můžete vidět i video ukazující praktické důslekdy útoku. Google ovšem tento problém od začátku popírá a říká, že chyba není na jeho straně, ale týká se Flashe, který je dodáván v jednom balíčku spolu s Chrome. Google se k novému vyjádření Vupenu zatím nevyjádřil a již dříve jeho zástupci informovali, že zranitelnost nemohou dobře prošetřit, protože Vupen odmítl sdělit detaily provedení útoku.

Vupen totiž v minulém roce spustil novou strategii, podobně jako i další bezpečnostní experti, s tím že již nereportuje přesný popis objevených zranitelností výrobcům softwaru, ale jen platícím zákazníkům. I když Google za objevené chyby odměny vyplácí, zjevně to pro Vupen není dostatečně motivující částka.