Gebruikers van Google Chrome konden via een kwaadaardig pdf-document worden gehackt, zo stelt Cisco, maar Google ontkent. Onderzoekers van Cisco ontdekten een beveiligingslek in Pdfium, de in Chrome ingebouwde pdf-lezer. Door het openen van een pdf-document met daarin een jpeg2000-bestand kon een aanvaller volgens Cisco willekeurige code op de computer uitvoeren, zoals het installeren van malware.
De meest efficiënte manier om de kwetsbaarheid aan te vallen was om gebruikers via een phishingmail of besmette advertentie naar het kwaadaardige pdf-bestand te wijzen, aldus de netwerkgigant. Cisco waarschuwde Google op 19 mei, waarna erop 25 mei een update voor Chrome verscheen. Cisco besloot vervolgens om gisteren de details openbaar te maken.
Beveiligingslekken in Chrome die het uitvoeren van willekeurige code op een computer mogelijk maken zijn vrij zeldzaam. Vorig jaar werden er slechts twee van dergelijke kwetsbaarheden gevonden. Naast een lek in de browser moet er ook een lek in de sandbox worden gevonden om code op het onderliggende systeem uit te voeren. In februari van dit jaar werd er ook een kritieke kwetsbaarheid in Chrome verholpen.
In het geval van het probleem dat Cisco ontdekte is er volgens Google helemaal geen sprake van een kritiek beveiligingslek. Google gaf het probleem namelijk de beoordeling "High". Dit houdt in dat een aanvaller geen willekeurige code op de computer kan uitvoeren, maar alleen binnen de context van de browser. Een aanvaller of kwaadaardige website kan in dit geval bijvoorbeeld gegevens van andere websites lezen of aanpassen.
Deze posting is gelocked. Reageren is niet meer mogelijk.