Dit weekend zou een nieuw beveiligingslek in Google Chrome worden gedemonstreerd, maar de demonstratie ging op het laatste moment niet door omdat de onderzoeker voor de dienstplicht werd opgeroepen. De 19-jarige Georgische beveiligingsonderzoeker Ucha Gobejishvili beweerde dat hij een ernstige kwetsbaarheid in de browser had ontdekt waardoor een aanvaller uit de Chrome-sandbox kan ontsnappen en de computer overnemen.

Hij had van tevoren geen details over het probleem aan Google gemeld, omdat de zoekgigant al op de hoogte van de problemen zou zijn. Chris Evans van het Google Chrome Security Team had zijn twijfels over de aankondiging. Dit jaar organiseerde Google twee evenementen waar het voor dit soort kwetsbaarheden 60.000 dollar betaalde.

Geloofwaardigheid
Daarnaast zou Gobejishvili in het verleden andere problemen hebben gemeld, maar zouden die allemaal als ongeldig zijn verklaard. "De afgelopen bugmeldingen bieden mogelijk een basis om de geloofwaardigheid van Gobejishvili's claim te bepalen, aangezien hij geen details tijdens de presentatie zal geven", aldus Google engineer Justin Schuh op Google+.

"Ik wil niet zeggen dat er geen mensen zijn die over legitieme Chrome zero-days beschikken. Integendeel, Chrome is een complex project met een groot aanvalsoppervlak en een doelwit van veel getalenteerde onderzoekers. Ik ben echter sceptisch over de claims van iemand die zelfs de meest basale beveiligingsconcepten niet kent."

Voorlopig lijkt het erop dat de Chrome zero-day een mysterie blijft, aangezien Gobejishvili zijn presentatie niet gaf. Volgens de organisatie van de Malcon conferentie werd Gobejishvili op het laatste moment voor de dienstplicht opgeroepen en kon hij daarom niet aanwezig zijn.