Chrome hacket på fem minutter

Bestod for første gang ikke Pwn2Own-konkurransen.

Studenten som stod for arbeidet som gjorde knekkingen mulig, har mottatt dusør fra Google mer enn 50 ganger for oppdagelse av nye sårbarheter i Chrome.
Studenten som stod for arbeidet som gjorde knekkingen mulig, har mottatt dusør fra Google mer enn 50 ganger for oppdagelse av nye sårbarheter i Chrome. Bilde: digi.no
Harald BrombachHarald BrombachNyhetsleder
8. mars 2012 - 10:21

Googles nettleser Chrome var den første nettleseren som ble knekket i den årlige hackerkonkurransen Pwn2Own som gikk av stabelen i går, i forbindelse med sikkerhetskonferansen CanSecWest som arrangeres i Vancouver, Canada denne uken.

Ifølge denne twittermeldingen fra arrangørene av konkurransen, greide VUPEN Security å knekke nettleseren på fem minutter. Selve arbeidet skal ha blitt gjort på forhånd av den russiske studenten Sergey Glazunov*. Chrome har aldri tidligere blitt knekket i Pwn2Own-konkurranser, så dette må anses som en betydelig bragd.

I en twittermelding skriver VUPEN at de greide å kjøre kode på systemet etter å ha omgått både sandkassen og DEP/ASLR-hindingene (Data Execution Prevention/Address Space Layout Randomization).

Knekkingen er også bekreftet av Sundar Pichai i Google, som forteller at Glazunov lenge har bidratt til Chromium-prosjektet.

Google utlovet for en drøy uke siden en ekstrabelønning til de som greier å knekke Chrome under Pwn2Own. Førstepremien er på 60 000 dollar, og Pichai mener at VUPEN-bragden ser ut til å kvalifisere til denne.

Google skal allerede være i gang med å lage en sikkerhetsfiks til Chrome som fjerner sårbarhetene som VUPEN utnyttet.

Laget fra VUPEN skal i løpet av noen timer også ha greid å knekke de andre nettleserne som var med i konkurransen, altså Firefox, Internet Explorer og Safari.

Detaljene var noe uklare da artikkelen ble skrevet. I ettertid har det vist seg at Glazunov ikke har noe med VUPEN å gjøre, men derimot på egenhånd deltok i Googles Pwnium-konkurranse. VUPEN deltok derimot i Pwn2Own-konkurransen. Det dreier seg derfor etter alt å dømme om to eller flere ulike sårbarheter og to separate metoder for å utnytte disse..

    Les også:

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
En tjeneste fra