Do tej pory Chrome opierał się wszelkim próbom. Przeglądarka była do tego stopnia dobrze zabezpieczona, że nawet podczas ostatniej imprezy Pwn2Own, która odbyła się w marcu, nikt nie podjął próby jej złamania - a nagroda była naprawdę wysoka. Francuskim programistom z firmy VUPEN, zajmującej się zabezpieczeniami, udało się jednak dokonać tego czynu.
Znaleziona luka jest o tyle niebezpieczna, że działa zarówno na 32 jak 64-bitowej wersji Windowsa, występuje ona we wszystkich wersjach Chrome'a, ale co gorsze, jej wykorzystanie nie powoduje żadnych objawów, które mogłyby zaalarmować potencjalną ofiarę, że dzieje się coś niedobrego.
Ekipa z VUPEN osiągnęła sukces dzięki przygotowanym exploitom, czyli programom wykorzystującym błędy w oprogramowaniu, które zostały umieszczone na stronie www. Dzięki nim możliwe stało się ominięcie ASLR (losowy rozkład przestrzeni adresowej), DEP (zapobieganie wykonywaniu danych) oraz najtrudniejszego zabezpieczenia - sandbox, czyli tak zwaną piaskownicę, służącą do bezpiecznego uruchamiania nie do końca pewnych programów i skryptów. W zamieszczonym na YouTube materiale VUPEN pokazał co dzieje się w momencie, kiedy potencjalna ofiara odwiedzi podejrzaną stronę oraz moment, w którym przeglądarka sama uruchamia kalkulator. Równie dobrze mógłby to być inny, bardziej "złośliwy" program.
Google jak na razie nie komentuje sprawy, ale jeśli informacja się potwierdzi, to w niedługim czasie powinniśmy spodziewać się aktualizacji. Tak czy inaczej, póki co możemy czuć się raczej bezpieczni, szanse, że VUPEN opublikuje metodę złamania zabezpieczeń w Chrome są na szczęście niewielkie.
[za: geek.com ]
