"We hebben erg interessant securitynieuws ... we hebben Google Chrome gepwnd", meldt Vupen-ceo Chaouki Bekrar in een e-mail aan Webwereld. De huidige Chrome-versie 11.0.696.65 is vatbaar voor Vupens exploitcode. Dat eigen maaksel benut diverse 0-day lekken in die browser om programmacode naar keuze automatisch te downloaden van internet en uit te voeren.

Buiten de sandbox

Vupen heeft voor een demonstratie (getoond in een besloten YouTube-video, zie onderaan dit artikel) een rekenmachine-applicatie gekozen, maar het blogt dat die zo vervangen kan worden door welk ander programma dan ook. Die binnengehaalde software draait dan buiten de geisoleerde zone (sandbox) van Chrome en heeft daarvoor ook de afweermechanismes ASLR en DEP van Windows omzeild.

De gebruiker krijgt hierbij geen enkele waarschuwing of teken: de exploitcode komt binnen door slechts een bezoek aan een malafide website. De browser loopt daarbij niet vast, wat vaak een teken is van binnendringende malware; die dan bijvoorbeeld een buffer overflow in het pc-geheugen gebruikt om zichzelf uit te voeren.

Alle Windows-varianten

De exploit werkt op zowel de 32- als de 64-bit varianten van Windows. Vupen toont het pwnen van Chrome op Windows 7, compleet met service pack 1 (SP1) en alle recente patches. Het is nog niet bekend of Microsoft en Google al zijn geïnformeerd over de 0-days in hun producten.

Vupen benadrukt dat het zijn zelfgemaakte exploitcode en informatie over de gebruikte ongepatchte lekken niet openbaar maakt. Het houdt die kennis en code voor zichzelf, en voor zijn klanten in de overheidssector. Die organisaties kunnen dan maatregelen nemen om deze kwetsbaarheden in Chrome en Windows af te dekken.

Pwn2Own-koning

De webbrowser van Google is tot op heden niet gekraakt. Dat dankt Chrome onder meer aan de geavanceerde isolatietechnieken (sandboxing) die van begin af aan zijn verwerkt in het basisontwerp. Ook op de meest recente editie van de kraakwedstrijd Pwn2Own, georganiseerd door HP Tippingpoint, is Chrome ongeslagen - samen met IE9 en Firefox 4. Vupen, dat begin vorige maand IE9 wist te pwnen, doet ook mee aan die jaarlijkse hackcompetitie.

Chrome mocht aanvankelijk niet eens meedoen aan de 2011-ronde van Pwn2Own. De organisatoren achtten de browser, die net als Apple's Safari is gebaseerd op de WebKit-browserengine, te taai. Google heeft de Pwn2Own-hackers verzocht Chrome toch toe te laten en heeft dat verzoek versterkt door een eigen premie uit te loven voor het kraken van zijn browser. Niemand heeft die beloning kunnen opstrijken.

Uitbraak

Er zijn eerder al wel lekken in Chrome ontdekt, maar die waren niet uit te buiten. Daarlangs binnenkomende malware bleef beperkt tot de sandbox van die specifieke browsertab. Vupen weet daar nu uit te breken.

Update:

Google Nederland reageert dat het kraken van Chrome mogelijk nog geen feit is. De woordvoerder verwijst naar de Amerikaanse officiële reactie: "We zijn op dit moment niet in staat om Vupen's claims te verifiëren omdat we geen enkele details van hun hebben ontvangen. Als er enige aanpassingen [aan Chrome - red.] nodig zijn, dan zullen gebruikers automatisch worden geüpdate naar de nieuwste versie van Chrome." Google update zijn webbrowser automatisch; gebruikers en beheerders hebben daar geen grip op.

Update2:

Security-expert Chris Evans van Google schat in dat het hier gaat om een lek in Adobe Flash, dat door Google is verwerkt in Chrome. Daardoor krijgt die webbrowser Flash-patches vaak eerder dan Flash van Adobe zelf voor de diverse andere browsers. Evans adviseert om Flash in Chrome te blokkeren.

Het pwnen van Chrome in beeld: