Digitale clusterbom nekte Google Chrome
De tiener die in maart van dit jaar Google Chrome wist te hacken, gebruikte hiervoor een digitale 'clusterbom', zo laat de zoekgigant weten. Een onbekende beveiligingsonderzoeker genaamd 'Pinkie Pie' wist uit de sandbox-beveiliging van de Chrome browser te breken en willekeurige code op het onderliggende systeem uit te voeren. De hack was onderdeel van de door Google georganiseerde Pwnium hackerwedstrijd. De tiener had van zijn werk geen toestemming gekregen om deel te nemen schreef zich daarom onder een alias in.
Sandbox
Voor zijn exploit reeg Pinkie Pie zes verschillende bugs aan elkaar, waardoor het hem lukte om uit de sandbox te ontsnappen. De aanval begon met een lek in de prerendering functie van Chrome. Die moet ervoor zorgen dat Chrome websites laadt en rendert voordat de bezoeker die opent, waardoor websites veel sneller geladen worden.
De prerenderer blokkeert plug-ins tot de gebruiker de website opent. Pinkie Pie ontdekte dat navigeren naar een eerder gerenderde pagina toch alle plug-ins uitvoert, zelfs Native Client plug-ins, wat normaal alleen geinstalleerde extensies en apps mogen doen.
Details
Zoals eerder toegezegd heeft Google een analyse van de exploit online gezet, die laat zien dat verschillende, kleinere lekken bij elkaar genomen een vernietigend effect kunnen hebben. Alle kwetsbaarheden zijn inmiddels gepatcht, maar details zijn nog niet vrijgegeven. Dat doet Google pas als alle Chrome-gebruikers en 'Chromium embedders' zijn geüpdatet. Voor zijn hack ontving Pinkie Pie 60.000 dollar.
--
wat heeft een werkgever er mee te maken wat ik in mijn vrije tijd doe.
Als jij de naam van je werkgever door het slijk haalt door te hacken, dan zou het kunnen dat klanten weglopen. Die willen niet het risico lopen dat een ongeleid projectiel een achterdeurtje in hun software maakt.
Imago van bedrijf misschien? Sommige voetballers mogen van hun club ook niet de pers te woord staan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Information Security Officer (2fte)
Een uitdagende rol waarbij jij, op basis van security, de vertaalslag maakt tussen business en IT en direct bijdraagt aan de veiligheid van informatie binnen de gemeente Almere. Dat is in een notendop waar jij als Information Security Officer mee bezig bent. Interesse gewekt? Door groei van de organisatie zijn we op zoek naar twee nieuwe collega’s.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
