De veelgeprezen sandbox van Google Chrome is niet gehackt, zoals het Franse beveiligingsbedrijf VUPEN onlangs beweerde. Dat zeggen beveiligingsonderzoekers en Google security engineers Tavis Ormandy en Justin Schuh. VUPEN zou met twee exploits Chrome op de knieën hebben gekregen, en vervolgens het onderliggende Windows besturingssysteem hebben overgenomen. "Zoals gebruikelijk, controleren security-journalisten niet de feiten. VUPEN heeft de sandboxing in Chrome verkeerd begrepen en hadden alleen een Flash bug", aldus Ormandy.

Plugins zijn volgens de onderzoeker de achilleshiel van de browser. In Chrome zijn daarom beveiligingsmaatregelen voor de standaard PDF-plugin aangebracht. "En we werken aan Flash. Geef ons niet de schuld."

Flash
Ormandy krijgt tegengas van beveiligingsonderzoeker Alex Sotirov. "Het enige dat er toe doet is dat ze shell hebben. Je kunt aanvallers niet dwingen om alleen binnen de parameters van de sandbox aan te vallen." Google security engineer Justin Schuh is het er niet mee eens. "Dat is onzin. Ze beweerden Chrome gehackte te hebben. Dat is niet het geval. Hun exploit zou overal werken waar NPAPI Flash draait."

VUPEN laat weten dat de exploit nu ook tegen de nieuwste bètaversie van Chrome 12 werkt.