Det franske sikkerhetsselskapet VUPEN Security kunngjorde i går at det funnet en sårbarhet i Google Chrome som omgår samtlige sikkerhetsegenskaper i nettleseren.
Chrome kjører innhold i en egen sandkasse, som det skal være svært vanskelig å trenge ut av. Dessuten støtter den teknikker som ASLR (Address Space Layout Randomization) og DEP (Data Execution Prevention), som gir ytterligere lag med beskyttelse mot uønsket kode.
Kunngjøringen fra VUPEN hører med til sjeldenhetene. Vanligvis er det Google selv som opplyser om sårbarheter i Chrome, og da først etter at de har blitt fjernet gjennom en sikkerhetsoppdatering. Nettleseren har alltid kommet helskinnet gjennom de årlige Pwn2Own-konkurransene, og det har kommet få eller ingen rapporter om vellykkede angrep oppdaterte utgaver av Chrome.
Nå er det ikke slik at VUPEN går helt åpent ut med hvordan angrepet kan utføres. Det som fortelles er at sårbarheten i alle fall finnes i Windows-utgaven av Chrome og at angrepsforsøk fungerer i x64-utgaven av Windows 7. Dette demonstreres dessuten i videoen nedenfor.
Sårbarheten kan utnyttes ved å lokke brukere til å besøke en spesielt utformet webside. I videoen demonstreres dette ved at websiden får Chrome til å laste ned et kalkulatorprogram fra en annen maskin og kjøre dette på utsiden av sandkassen til Chrome. VUPEN mener at metoden er pålitelig.
Det er uklart om VUPEN vil dele informasjonen om sårbarheten med Google. I kunngjøringen heter det at detaljene vil deles eksklusiv med VUPENs regjeringskunder.
En representant for Google sa i går kveld til CNET News at selskapet ikke har fått noen detaljer om sårbarheten fra VUPEN, og derfor ikke kan bekrefte at den eksisterer.
Google deler ut penger for informasjon om sikkerhetsproblemer, noe som kan ha bidratt til at mange av oppdagerne har holdt sårbarhetene hemmelige for offentligheten inntil sikkerhetsoppdateringer har kommet på plass. Men beløpene er trolig ikke store nok at selskapet får med seg alle sikkerhetseksperter med i ordningen.