Google heeft ook de drie zero-day lekken die een tiener in de browser vond gepatcht, maar dit is een tijdelijke oplossing. Deze week organiseerde de zoekgigant de Pwnium competitie, waarbij hackers 1 miljoen dollar konden verdienen met het vinden van lekken in Chrome. Als eerste lukte het de Russische beveiligingsonderzoeker Sergey Glazunov om uit de browser te breken en willekeurige code op de gebruikte Windows 7-installatie uit te voeren.
Op de laatste dag van de wedstrijd was het een tiener genaamd "PinkiePie", die maar liefst drie kwetsbaarheden in de browser aan elkaar reeg om uit de sandbox te ontsnappen en willekeurige code uit te voeren. PinkiePie had geen toestemming van zijn werkgever gekregen om aan de competitie deel te nemen en wil daarom anoniem blijven. Net als met de lekken van Glazunov werden ook de door PinkiePie ontdekte kwetsbaarheden binnen een dag opgelost. Google had hiervoor verschillende teams klaarzitten.
Aanvulling
De zoekgigant is zeer te spreken, maar merkt op dat de patches geen sluitstuk zijn. Voor zowel de lekken van Glazunov als PinkiePie zal Google in de nabije toekomst aanvullende aanpassingen en 'hardening' maatregelen doorvoeren die Chrome beter tegen hackers moet beschermen.
Ook zal Google een analyse van de twee aanvallen publiceren. "Beide inzendingen zijn kunstwerken en verdienen een grotere erkenning", zegt Jason Kersey van het Google Chrome Team. Chrome-gebruikers zullen automatisch naar de nieuwe versie 17.0.963.79 worden geüpgraded.
VUPEN
De enige lekken die nog niet gepatcht zijn, zijn die het Franse beveiligingsbedrijf VUPEN vond. De Fransen wisten ook uit de sandbox te breken en willekeurige code uit te voeren. VUPEN deed echter aan de Pwn2Own hackerwedstrijd mee. Daardoor krijgt Google alleen de details van het lek om code op het systeem uit te voeren, en wordt niet verteld hoe de Fransen uit de sandbox wisten te ontsnappen.
"Alleen als VUPEN aan Google vertelt wat de exploit is. Tot dan moet je aannemen dat VUPEN ze bij niet nader genoemde overheidsinstanties probeert te verkopen", aldus een reactie op de nieuwe Chrome-versie.
Deze posting is gelocked. Reageren is niet meer mogelijk.