image

Mysterie rond Google Chrome zero-day-lek

maandag 26 november 2012, 11:30 door Redactie, 9 reacties

Een onbekend beveiligingslek in Google Chrome is nog altijd een mysterie. Dit weekend vond in India de Malcon hackerconferentie plaats. Een 19-jarige Russische systeembeheerder zou volgens het programma een nieuwe zero-day-aanval op Google Chrome demonstreren waarbij een aanvaller het aangevallen systeem volledig zou kunnen overnemen. De ontdekker van het probleem, Ucha Gobejishvili, besloot Google niet van tevoren in te lichten.

Google organiseerde het afgelopen jaar twee edities van Pwnium, waar het voor dit soort beveiligingslekken 60.000 dollar betaalde. Daar zou Gobejishvili niet in geïnteresseerd zijn. Tegenover de Security Ledger laat de Rus weten dat de kwetsbaarheid zich in een DLL bevindt die onderdeel van de browser is en in potentie ook op andere platformen zou werken, hoewel de demonstratie op Windows zou plaatsvinden.

Google
Precieze details wil hij niet prijsgeven. "Ik weet dat dit een zeer gevaarlijk probleem is...daarom publiceer ik niet meer details over deze kwetsbaarheid." Ook na de demonstratie is Gobejishvili niet van plan om Google te informeren. "Google weet dat ze een probleem in het Chrome product hebben."

Google tast nog altijd in het duister over het soort beveiligingslek dat de Rus zou demonstreren. Hoewel de conferentie inmiddels is afgelopen, is nog altijd onduidelijk of Gobejishvili zijn exploit heeft laten zien. In juli maakte de systeembeheerder onderstaande video van een aanval op Google Chrome.

Reacties (9)
26-11-2012, 12:21 door Anoniem
'Tegenover de Security Ledger laat de Rus weten dat de kwetsbaarheid zich in een DLL bevindt die onderdeel van de browser is en in potentie ook op andere platformen zou werken'

Die snap ik niet, hoe kan ik DLL's gebruiken op mijn OS X laptop/bak of *nix machine?

Nietemin, jammer/niet zo netjes dat hij het niet deelt met Google en dus met het publiek.
26-11-2012, 12:40 door Anoniem
Als hij niet geïnteresseerd is in de 60.000 dollar van Google, heeft hij het waarschijnlijk aan iemand anders verkocht voor meer geld.

Dat hij verder het volgende zeg: "Google weet dat ze een probleem in het Chrome product hebben.", geeft mij de indruk dat hij bedoelt dat Google een fundamenteel security probleem heeft met zijn browser.
26-11-2012, 13:49 door Anoniem
Geen interesse in 60K van Google, maar het ook niet gratis willen toelichten ?
Biedt VULPEN dan zoveel meer voor 0day exploits ?
26-11-2012, 15:30 door Security Scene Team
Door Anoniem: Geen interesse in 60K van Google, maar het ook niet gratis willen toelichten ?
Biedt VULPEN dan zoveel meer voor 0day exploits ?

waarschijnlijk VUPEN niet, denk eerder een 1 of andere underground source. of misschien de russische overheid ;)
ik vraag me af of het daadwerkelijk echt is. immers kan iedereen zomaar een .html maken met de tekst: "Your browser is pwned"

ik zou het pas geloven als hij (zoals anderen) laten zien in het filmpje dat hij ook daadwerkelijk verbinding kan maken met die "pwned" systeem. ik zie alleen een PoC.html echt veel meer bewijs zie ik niet behalve dat hij PuTTy laat zien, maar dan kan ook elke gebruiker.

nog raarder is dat hij niets tegen google vermeld...

we wachten de berichten af, misschien dat hij aankomende week z'n speelgoed zal tonen. (mocht het echt zijn)


Edit: of hij probeert Google zover te krijgen dat ze geld geven voor hij het laat zien.... hmm raar!
26-11-2012, 17:08 door WesleySmalls
Kan natuurlijk ook een middelvinger naar google zijn.

Google biedt 60.000 euro als er een lek gevonden word, dat nemen veel mensen maar al te graag aan. Kortom Google krijgt elk lek gewoon perfect in het handje gedrukt en kan deze vervolgens slapend fixen. Nou nu dus mooi niet.

Waarschijnlijk heeft meneer ergens anders gewoon meer geld gekregen voor het lek, of het is een fake
26-11-2012, 19:38 door TD-er
Gelet op het totaal nietszeggende filmpje, vermoed ik dat het fake is.
Pure blufpoker en ik kan nog niet echt bedenken waarom iemand dat zou doen, anders dan hele sneue redenen, of misschien inderdaad de prijs wat op te krikken. Maar dan moet je ook wel echt op de proppen komen met de exploit.
26-11-2012, 19:43 door Anoniem
Door Anoniem: Die snap ik niet, hoe kan ik DLL's gebruiken op mijn OS X laptop/bak of *nix machine?
Een DLL is Microsoft's implementatie van een concept dat je ook op *nix aantreft: een shared library. Vermoedelijk tref je voor elk .dll-bestand dat Chrome op Windows nodig heeft een overeenkomstig .so-bestand aan op Linux, en iets soortgelijks op OS/X (ik weet niet of daar dezelfde extensie wordt gebruikt). DLL staat voor dynamic-link library, SO staat voor shared object. De DLL-naamgeving benadrukt het feit dat de objecten dynamisch (naar behoefte) worden geladen in een proces, de SO-naamgeving benadrukt dat het object gedeeld kan worden door allerlei programma's en processen.

Er wordt dus niet bedoeld dat Chrome DLL's gebruikt op *nix, maar het equivalent ervan zal wel gewoon aanwezig zijn en mogelijk hetzelfde probleem bevatten.
26-11-2012, 21:59 door Anoniem
Een aantal bij google gemelde PoCs door Gobejishvili/longrifle0x en de reacties daarop op tot nu toe;
-Popup restriction checks;
This was actually working as intended, you were hitting the pop-up limit. We did recently change this behavior though so this shouldn't work any more as of m22. You should now only be able the create one pop up per user gesture.

-Google Chrome Memory corruption Exploit;
@Longrifle0x, this is not a memory corruption crash. It is intentionally crashing on a sad tab from running out of memory.

-Clickjacking Vulnerability;
A clickjacking vulnerability implies that the user clicks on something other than what they intended to click, which doesn't seem to be happening here. This behavior is by design.
link: --https://code.google.com/p/chromium/issues/list?can=1&q=reporter%3Alongrifle0x--

Vooralsnog zeg ik: meh, een html docje en een PuTTy schermpje heen en weer slingeren is nog niet volledig overtuigend imao.
ps Is die kerel geen Georgier ipv Rus?
27-11-2012, 03:17 door Anoniem
Dus gewoon een dikke vinger die niet om het geld gaat kan niet?

Niet alles gaat om geld gasten......
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.