Het Franse beveiligingsbedrijf VUPEN is het gelukt om de sandbox van Google Chrome te hacken, waardoor het mogelijk wordt gemaakt om het systeem over te nemen.
Om de aanval te laten slagen, hoeft de nietsvermoedende internetsurfer alleen een speciaal aangepaste website te bezoeken. Is dat eenmaal gebeurd, dan kan de exploit ‘alle beveiligingsmaatregelen’ omzeilen, waaronder data execution prevention (DEP) en address space layout randomization (ASLR). Volgens de onderzoekers van VUPEN is deze exploit een van de meest geraffineerde codes die ze ooit gemaakt of gezien hebben.
De exploit werkt op zowel 32 als 64 bitversies van Windows en zou gebruik maken van meerdere, onbekende zero-daybeveiligingslekken om de kwaadaardige code op het systeem uit te voeren. "Hoewel Chrome een van de veiligste sandboxes heeft en de afgelopen drie jaar altijd de Pwn2Own-hackerwedstrijd heeft overleefd, hebben we nu een betrouwbare manier ontdekt om willekeurige code op elke installatie van Chrome uit te voeren, ondanks de sandbox, ASRL en DEP", zo vertelt VUPEN.
Het Franse bedrijf heeft Google niet ingelicht over de details van het probleem en deelt de informatie alleen met overheidsinstellingen. Google kan dan ook alleen maar gissen naar de fouten die uitgebuit worden en denkt dat de kwetsbaarheid in de ingebouwde Adobe Flash Player zit. "Ziet eruit als een Flash-bug. Bescherming zoals gewoonlijk (plug-ins blokkeren)", zo vertelt Chris Evans van het Google Security Team op Twitter.
4 uur geleden
