Frans bedrijf claimt hack van Chrome
Vupen Security heeft niet alleen de 'zandbak' van Chrome omzeild die malware moet isoleren, maar ook de in Windows 7 ingebouwde bescherming tegen het uitbuiten van beveiligingslekken buiten werking gesteld. Dat meldt Computerworld. Google zegt de beweringen van Vupen bij gebrek aan bijzonderheden niet te kunnen verifiëren.
Shutterstock
Shutterstock
In een blog schrijft Vupen dat de hack van Chrome een van de meest geavanceerde is die het bedrijf tot dusver heeft ontwikkeld. De 'exploit' gaat om alle veiligheidsvoorzieningen van Chrome heen. De gebruiker merkt niets omdat de pc niet vastloopt na het activeren van de malware. De hack is gebaseerd op nog niet gepubliceerde kwetsbaarheden en zou werken op alle versies van Windows.
De aanvalscode van Vupen trekt zich evenmin iets aan van 2 beschermingswallen die Mcrosoft in Windows 7 heeft opgeworpen. Het betreft 'data execution prevention' (DEP) en 'address space layout randomization' (ASLR).
Chrome staat bekend als moeilijk te kraken
Chrome staat bekend als de browser die het moeilijkst te kraken is. Dat is vooral te danken aan de door Google toegepaste sandbox-technologie. Hierdoor wordt de browser geïsoleerd van de overige software op de pc, waardoor het voor hackers heel lastig is om hun aanvalscode uit te voeren.
Volgens Vupen kan de hack worden uitgevoerd vanaf een kwaadaardige website. De gebruiker die zo'n site bezoekt, wordt getrakteerd op verschillende stukjes malware die op hun beurt de eigenlijke aanvalscode downloaden en buiten de sandbox uitvoeren. In een demonstratie op YouTube gebruikt Vupen hiervoor een onschuldig programmaatje, de Windows Calculator. Maar bij een echte aanval kan 'calc.exe' worden vervangen door kwaadaardige software.
Vupen geen alleen klanten details over de hack
Vupen zegt verder dat het geen details over zijn hack en over de nog niet gepatchte lekken in Chrome zal publiceren. Sinds vorig jaar meldt Vupen de lekken die het ontdekt niet meer aan de leveranciers van de producten in kwestie, zoals in de IT-beveiliging gebruikelijk is. Wel krijgen de betalende overheidsklanten van het bedrijf de nodige informatie.
Tijdens de jaarlijkse hackerwedstrijd Pwn2Own in maart van dit jaar deed geen enkele beveiligingsspecialist een poging om Chrome te hacken. Google had een prijs van 20.000 dollar in het vooruitzicht gesteld. Een team van Vupen sleepte tijdens Pwn2Own 2010 wel een prijs van 15.000 dollar in de wacht door Safari, de browser van Apple, te kraken.
Gerelateerde artikelen
Gerelateerde artikelen
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee