Google Chrome is voor de derde keer in drie dagen tijd volledig gehackt, en wel door een tiener die hier geen toestemming voor had. De derde hack van Google's browser vond heel gepast via drie zero-day beveiligingslekken plaats. De hack was onderdeel van de door Google opgezette Pwnium-wedstrijd en werd uitgevoerd door een hacker die zich 'Pinkie Pie' noemt. De tiener wil bewust anoniem blijven, aangezien hij van zijn werkgever geen toestemming had gekregen om aan de wedstrijd deel te nemen.

Hij gebruikte drie verschillende zero-day lekken in de browser om uit de Chrome-sandbox te breken en willekeurige code uit te voeren. Voor de hack betaalde Google hem 60.000 dollar. Pinkie Pie had naar eigen zeggen anderhalve week nodig om de drie lekken te vinden en een betrouwbare exploit te schrijven.

De onderzoeker merkt op dat hij ook geluk had, aangezien hij een manier vond om vroegtijdig uit de sandbox te breken, terwijl dit normaliter vrij lastig is. "Ik kwam erachter door er goed naar te kijken."

Patch
Net als met de vorige Pwnium-hack die door Sergey Glazunov werd uitgevoerd, zal Google de kwetsbaarheid zo snel als mogelijk patchen. De twee lekken die Glazunov gebruikte werden binnen 24 uur door Google gepatcht. Zeer waarschijnlijk zal de zoekgigant vandaag of morgen met een update komen.

Dat betekent dat alleen de aanval die het Franse beveiligingsbedrijf VUPEN gebruikte nog openstaat. De details van deze aanval krijgt Google pas maandag te horen, aangezien de Fransen niet aan Pwnium, maar aan de Pwn2Own-hackerwedstrijd deelnamen.