image

Ernstig lek kon aanvaller rootrechten op ChromeOS geven

zondag 16 oktober 2016, 10:36 door Redactie, 4 reacties

ChromeOS wordt als één van de veiligere besturingssystemen gezien, maar onlangs werd er een kwetsbaarheid in gerapporteerd waardoor een aanvaller op afstand code met rootrechten kon uitvoeren. Het door Google ontwikkelde besturingssysteem draait op Chromebooks, die erg populair in de VS zijn.

ChromeOS maakt onder andere gebruik van het c-ares project. Dit is een softwarebibliotheek voor asynchrone dns-verzoeken. Een kwetsbaarheid hierin bleek het mogelijk te maken voor een aanvaller om via JavaScript code met rootrechten uit te voeren. Het bezoeken van een gehackte of kwaadaardige website zou in dit geval voldoende zijn geweest. "Ik vermoed dat dit de ergste exploit is die voor ChromeOS gemaakt kan worden", zegt Daniel Stenberg, ontwikkelaar bij Mozilla en één van de beheerders van het c-ares project.

Volgens Stenberg gaat het om een zeer complexe exploit die op betrouwbare wijze tegen ChromeOS kan worden uitgevoerd. Exacte details zijn door Google nog niet vrijgegeven, omdat de internetgigant aan verschillende aanvullende beveiligingsmaatregelen werkt. Wel is inmiddels de kwetsbaarheid in c-ares verholpen en heeft Stenberg daarom besloten die in uitgebreid detail op zijn eigen blog te beschrijven.

Volgens de Mozilla-ontwikkelaar laat de kwetsbaarheid zien dat beveiligingslekken die op het eerste gezicht onschuldig lijken toch vergaande gevolgen kunnen hebben en er mensen met voldoende kennis zijn om daar uiteindelijk exploits voor te ontwikkelen. Hij verwacht dan ook dat de persoon die de kwetsbaarheid rapporteerde een grote beloning van Google zal krijgen. Twee jaar geleden beloonde Google de hacker George Hotz nog tijdens een hackwedstrijd met 150.000 dollar voor het hacken van ChromeOS. Inmiddels heeft de internetgigant ook een beloningsprogramma voor het melden van ChromeOS-lekken, waarbij de topbeloning 50.000 dollar is.

Reacties (4)
16-10-2016, 10:42 door Anoniem
Het is een beetje vreemd dat er kennelijk een proces met root rechten draait wat DNS resolving doet van paden die
door de browser worden aangeleverd. Wellicht een custom DNS resolver/cache proces? De browser zelf draait niet
als root op een Chromebook!
16-10-2016, 20:41 door Anoniem
Niets is veilig,

Wellicht: Chromium + Ubuntu = Cub

https://cublinux.com :)
17-10-2016, 09:41 door [Account Verwijderd]
[Verwijderd]
17-10-2016, 10:12 door Anoniem
Jongens kom op....
Het onveiligste professioneel ontworpen OS met monopoly in de hele wereld is nog steeds M$!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.