Fjerner Pwnium-sårbarhet fra Chrome

Google kom med sikkerhetsfiks på under 24 timer.

Harald BrombachHarald BrombachNyhetsleder
9. mars 2012 - 10:46

Flere sikkerhetseksperter greide under denne ukens CanSecWest-konferanse i Canada å knekke Google Chrome. Under konferansen ble det arrangert to separate konkurranser i nettleserknekking, Pwn2Own og Pwnium. Den sistnevnte arrangeres av Google og gjelder primært selskapets egen Chrome-nettleser.

Mens sikkerhetsselskapet VUPEN greide å knekke samtlige av nettleserne i Pwn2Own-konkurransen, var det den russiske studenten Sergey Glazunov som første fikk en førstepremie i Pwnium-konkurransen.

Allerede i går, mindre enn 24 timer etter at Glazunov demonstrerte sitt «hack», kom Google med en sikkerhetsoppdatering hvor sårbarhetene Glazunov utnyttet, var blitt fjernet. Google vil inntil videre holde tilbake detaljer om sårbarheten, men oppgir her «bad history navogation» og UXSS (Universal Cross Site Scripting). Det sistnevnte er en spesiell type XSS som kan utløses ved å utnytte sikkerhetsfeil i selve nettleseren.

Sårbarhetene VUPEN skal ha utnyttet, er finnes derimot fortsatt i nettleseren. Et intervju med forskningssjefen i VUPEN, Chaouki Bekrar, om Chrome-hackingen, finnes her.

Ved tidligere års konkurranser har Pwn2own forutsatt at deltakerne også oppga alle detaljer rundt sårbarhetene til leverandørene av produktene som knekkes, men dette skal ha blitt endret i årets konkurranse. Dette trolig hovedårsaken til at Google arrangerer Pwnium parallelt med Pwn2Own. Denne regelendringen skal også være årsaken til at den mest berømte av alle tidligere Pwn2Own-deltakere, Charlie Miller, ikke deltar i år.

VUPEN greide også å knekke blant annet Internet Explorer. I et intervju forteller forskningssjef Chaouki Bekrar at de to sårbarhetene som ble utnyttet, finnes i alle versjoner fra IE6 til IE10.

    Les også:

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.