Dit beveiligingslek is ontdekt door Acros Security, dat in juli al een soortgelijk gat heeft gevonden in Java. Chrome blijkt onder specifieke omstandigheden ertoe aan te zetten malafide code te laden én uit te voeren. De malware draait dan buiten de ingebouwde isolatiezone (sandbox) van Google's webbrowser.

'Vreemd gedrag'

Deze kwetsbaarheid is eind september gemeld aan Google. Acros maakt het na overleg met Google nu breed bekend. De Chrome-maker ziet de kwestie namelijk niet als een beveiligingsprobleem. “Vreemd gedrag, maar we behandelen dit niet als een security bug. De voorwaarden om dit te misbruiken zijn te uitgestrekt: niet-default browserconfiguratie, vers opgestarte browser, de mogelijkheid om iemand [een Chrome-gebruiker - red.] een bestand te laten laden vanaf jouw gedeelde lokatie", reageert een Chromium-developer van Google.

De malware-optie vereist inderdaad een complexe reeks omstandigheden om succesvol uitgevoerd te worden. Ten eerste moet in Chrome Google niet zijn ingesteld als de standaardzoekmachine. Ten tweede moet een gebruiker nog geen beveiligde website (via https) hebben bezocht sinds het starten van Chrome, tijdens deze gebruikssessie. Ten derde moet de huidige werkdirectory van Chrome zijn ingesteld op een locatie die de aanvaller beheerst.

À la DLL-lek Windows

Indien aan die voorwaarden is voldaan, kan een kwaadwillende de browser eigen code laten uitvoeren. Dat gebeurt dan doordat Chrome een configuratiebestand voor versleuteling inlaadt, maar dan vanaf de locatie van de aanvaller en dus voorzien van eigen malware-instructies.

Acros blogt dat een mogelijkheid is een eindgebruiker te verlokken een bestand te openen vanaf de 'malafide' netwerklocatie, via netwerkprotocollen SMB of WebDAV. Deze vorm van 'data hijacking' is afgeleid van DLL-hijacking, waar Acros de alarmklok over heeft geluid. Het Sloveense securitybedrijf heeft eerder het verstrekkende DLL-lek in Windows ontdekt, dat uiteindelijke vele honderden applicaties heeft gecompromitteerd.

Acros demonstreert deze aanval op Chrome: