Man må også greie å trenge seg ut av sikkerhetssandkassen til Chrome for skikkelig å kunne utnytte sårbarheter i Chrome. Som Pwnium-tilfellet viser, lar det seg i blant gjøre. Men Google er normalt raske med å tette åpningene som blir oppdaget.

Chrome-hull lappet på under ti timer

Delte samtidig ut finnerlønn på 60 000 dollar.

Google arrangerte i går for andre gang hackerkonkurransen Pwnium, hvor målet for deltakerne er å finne og utnytte sikkerhetshull i Chrome-nettleseren. Førstepremien var på 60 000 dollar, og konkurransen ble arrangert i forbindelse med sikkerhetskonferansen Hack In The Box i Kuala Lumpur, Malaysia.

Hackeren kjent som Pinkie Pie, som i alle fall i mars i år fortsatt var i tenårene, gikk av med seieren – nok en gang. Det samme gjorde han i mars i år, da Google arrangerte den første Pwnium-konkurransen.

I et blogginnlegg skriver programvareingeniør i Google, Chris Evans, at Pinkie Pie pwn var basert på et WebKit SVG-kompromittering for å utnytte renderingsprosessen, samt en annen feil iIPC-laget for å unnslippe sandkassen til Chrome. Angrepet avhenger bare av feil som finnes i selve Chrome for å oppnå kjøring av vilkårlig kode. Dermed kvalifiserte Pinkie Pie seg for den høyeste premien.

– Noe av det mest effektive sikkerhetsforsvaret til Chrome, er vår raske responstid og evne til raskt å oppdatere brukere med kritiske patcher. Disse feilene var ikke noe unntak. Vi startet å analyse angrepet så snart det ble forelagt, og på mindre enn ti timer etter at Pwnium 2 ble avgjort, var vi i gang med å oppdatere brukere med en ny-patchet versjon av Chrome, skriver Evans.

Detaljer om den nye versjonen finnes her.

    Les også:

Til toppen