Sikkerhetsselskapet VUPEN kunngjorde mandag at det har funnet en alvorlig sårbarhet i sandkassefunksjonen i Googles nettleser, Chrome. Utnyttelse av sårbarheten skulle gjøre det mulig å trenge gjennom alle sikkerhetstiltakene i nettleseren. Utnyttelsen ble demonstrert i en video, men kunne ikke bekreftes av Google fordi selskapet ikke hadde fått noen detaljer fra VUPEN.
Nå har flere Google-ansatte kommet på banen og avviser tvert at sårbarheten som har blitt utnyttet, finnes i selve Chrome. I en twittermelding skriver Google Tavis Ormandy at det VUPEN har funnet, er en Flash-relatert feil.
Sikkerhetseksperten Dan Kaminsky, som ikke er tilknyttet noen av partene, har skrevet et omfattende blogginnlegg om tilfellet. Han skriver at det nok er riktig at VUPEN ikke har trengt gjennom den primære sandkassen i Chrome. I stedet har sikkerhetsselskapet omgått hele sandkassen og i stedet angrepet sandkassen hvor Chrome kjører sin spesielle utgave av Flash Player. Denne sandkassen regnes for å være langt mindre sikker enn den primære sandkassen. Google snakket så sendt som under denne ukens Google I/O-konferanse om «delvis sandkassing».
Men Kaminsky er uenige med Google om hvorvidt VUPEN har knekket Chrome eller ikke. Kaminsky mener at når Google først leverer Flash Player med Chrome, så må den sammenlignes med andre tredjepartsløsninger som følger med nettleseren, inkludert WebKit, SQLite og WebM. En oversikt finnes her.
– Å være ansvarlig for dine importerte biblioteker er temmelig normalt, skriver Kaminsky.
Kaminsky og Chris Evans, et medlem av Googles Chrome Security-gruppe, har siden i går diskutert dette via Twitter.
Evans skriver at de fleste nettleserbruker uansett har Flash både installert og aktivert, men at integrasjonen med Chrome sørger for at de både til enhver tid har den nyeste utgaven, i tillegg til at den kjøres i sandkassen. Alternativet er å bruke den vanlige NPAPI-utgaven Flash, men da uten sandkassen, som tross alt gir noe økt beskyttelse mot angrep.
Les også:
- [08.06.2011] Tryggere nedlasting med ny Chrome
- [13.05.2011] Last ned ny Flash Player
- [10.05.2011] Trenger gjennom all sikkerhet i Chrome
- [09.03.2011] Chrome putter Flash i «sandkassen»