Avviser påstått hull i Chrome-sandkassen

– Sårbarheten er knyttet til Flash-pluginen, sier Google.

Harald BrombachHarald BrombachNyhetsleder
13. mai 2011 - 14:21

Sikkerhetsselskapet VUPEN kunngjorde mandag at det har funnet en alvorlig sårbarhet i sandkassefunksjonen i Googles nettleser, Chrome. Utnyttelse av sårbarheten skulle gjøre det mulig å trenge gjennom alle sikkerhetstiltakene i nettleseren. Utnyttelsen ble demonstrert i en video, men kunne ikke bekreftes av Google fordi selskapet ikke hadde fått noen detaljer fra VUPEN.

Nå har flere Google-ansatte kommet på banen og avviser tvert at sårbarheten som har blitt utnyttet, finnes i selve Chrome. I en twittermelding skriver Google Tavis Ormandy at det VUPEN har funnet, er en Flash-relatert feil.

Sikkerhetseksperten Dan Kaminsky, som ikke er tilknyttet noen av partene, har skrevet et omfattende blogginnlegg om tilfellet. Han skriver at det nok er riktig at VUPEN ikke har trengt gjennom den primære sandkassen i Chrome. I stedet har sikkerhetsselskapet omgått hele sandkassen og i stedet angrepet sandkassen hvor Chrome kjører sin spesielle utgave av Flash Player. Denne sandkassen regnes for å være langt mindre sikker enn den primære sandkassen. Google snakket så sendt som under denne ukens Google I/O-konferanse om «delvis sandkassing».

Men Kaminsky er uenige med Google om hvorvidt VUPEN har knekket Chrome eller ikke. Kaminsky mener at når Google først leverer Flash Player med Chrome, så må den sammenlignes med andre tredjepartsløsninger som følger med nettleseren, inkludert WebKit, SQLite og WebM. En oversikt finnes her.

– Å være ansvarlig for dine importerte biblioteker er temmelig normalt, skriver Kaminsky.

Kaminsky og Chris Evans, et medlem av Googles Chrome Security-gruppe, har siden i går diskutert dette via Twitter.

Evans skriver at de fleste nettleserbruker uansett har Flash både installert og aktivert, men at integrasjonen med Chrome sørger for at de både til enhver tid har den nyeste utgaven, i tillegg til at den kjøres i sandkassen. Alternativet er å bruke den vanlige NPAPI-utgaven Flash, men da uten sandkassen, som tross alt gir noe økt beskyttelse mot angrep.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Har muligheten for hjemmekontor blitt den nye normalen?
Les mer
Har muligheten for hjemmekontor blitt den nye normalen?
Tekjobb
Få annonsen din her og nå frem til de beste kandidatene
Lag en bedriftsprofil
En tjeneste fra