Chrome grondig gekraakt op Pwn2Own

door

Pwnie Awards

door

Nieuws - Google Chrome is via 2 bugs volledig gekraakt, binnen 5 minuten. En vervolgens nogmaals gekraakt, door een ander. Beide krakers wisten uit de sandbox te ontsnappen en eigen code uit te voeren.

Het pwnen van Chrome is gebeurd in de Pwn2Own-kraakwedstrijd op security-bijeenkomst CanSecWest. De eerste kraak is gedaan door het Franse securitybedrijf Vupen. Daarnaast is Chrome ook door een andere kraker gepakt, die daarmee zeker is van 60.000 dollar prijzengeld van Google. De Chrome-maker looft in totaal 1 miljoen dollar uit voor ontdekte en gemelde lekken in zijn webbrowser.

Eigen voorwaarden

De internetreus beloont security-onderzoekers die hun exploits, compleet met de daarvoor gebruikte bugs, onthullen aan softwaremakers. Eind februari heeft Google besloten zijn premies zelfstandig uit te loven, en niet langer via Pwn2Own. De reden daarvoor is dat die kraakwedstrijd niet meer vereist dat exploits en bugs worden gedeeld met de maker van de gekraakte software.

Chrome-kraker Vupen heeft toen gelijk al aangegeven geen interesse te hebben in Google's voorwaarden. Het Franse securitybedrijf verkoopt informatie over ontdekte beveiligingsgaten aan grote bedrijven en overheden. En aan softwareleveranciers die een contract met Vupen hebben.

'Binnenkort veel moeilijker'

Security-ingenieur Justin Schuh van Google bevestigt de volledige kraak van Chrome. Hij feliciteert de onderzoekers van Vupen maar belooft ze dat “het binnenkort veel moeilijker is". De Chrome-ontwikkelaar verwijst daarbij naar de nieuwe plug-in isolatietechnologie Pepper die Google verwerkt in de Chromium-broncode.

Vlak voor Pwn2Own heeft Google nog een reeks gaten in Chrome gedicht. Een daarbij opgedoken JavaScript-probleem heeft die update nog twee dagen uitstel bezorgd. Daarmee is Chrome toch nog op tijd opgelapt voor de aanvang van de kraakwedstrijd. Maar dat heeft niet mogen baten, want Vupen knalde er met zijn tweetrapsraket doorheen.

Update:
Aangepast dat de kraakprijs van 60.000 dollar afkomstig is van Google en niet is voor Vupen, maar voor een andere hacker die Chrome óók volledig weet te kraken.

Aanbevolen artikelen

eerst ▾ Reacties

De reacties worden ingeladen...

Insider naam

 
{$quantity}%

Mijn insider overzicht Uitloggen

Briefcase({$quantity}) Mijn Downloads({$quantity})

Word insider

  • Exclusieve content
  • Achtergrond verhalen
  • Praktische tips

Topbedrijven met ICT vacatures

Webwereld nieuwsbrief

Ontvang dagelijks een overzicht van het laatste ICT-Nieuws in uw mailbox.