Google Chrome is nog altijd een lastige browser voor hackers om te kraken. Dit jaar slaagden beveiligingsonderzoekers en hackers er slechts elf keer in om uit de sandbox-beveiliging van de browser te breken en willekeurige code op de onderliggende code uit te voeren, zo blijkt uit een telling van Security.nl. Google patchte dit jaar een groot aantal beveiligingslekken in de browser, maar de ingebouwde sandbox wist in de meeste gevallen de impact te beperken.

Drie van de elf 'critical' kwetsbaarheden die het mogelijk maakten om uit de sandbox te breken, werden tijdens de Pwnium-wedstrijden ontdekt. Google organiseerde twee evenementen waar hackers flinke geldprijzen konden vinden voor het succesvol kraken van Chrome. Gisteren was het Google zelf dat een gat in de Chrome-sandbox schoot.

Chrome 23.0.1271.97 voor Windows, Mac en Linux verhelpt zes lekken, waarvan één critical, drie high en twee medium. Ook is de ingebouwde Flash Player van beveiligingsupdates voorzien. Google betaalde onderzoeker Chamal de Silva 2.500 dollar voor het rapporteren van twee kwetsbaarheden. Een onderzoeker genaamd 'Pawlkt' ontving 2.000 dollar voor zijn bugmelding.

Wat betreft het aantal kritieke kwetsbaarheden liggen die in Chrome veel lager dan bij Firefox of Internet Explorer het geval is. Zo publiceerde Mozilla begin oktober Firefox 17, waarmee alleen in deze versie al 21 kritieke kwetsbaarheden werden verholpen. Het aantal lekken in IE betrof dit jaar 23, waarvan de meeste als critical bestempeld werden.

Hieronder de lijst 'critical' beveiligingslekken in Google Chrome:

• CVE-2011-3046
  
• CVE-2011-3047
  
• CVE-2011-3106
  
• CVE-2011-3108
  
• CVE-2011-3925
  
• CVE-2011-3961
  
• CVE-2012-2859
  
• CVE-2012-2897
  
• CVE-2012-5108
  
• CVE-2012-5112
  
• CVE-2012-5142