Google Chrome voor het eerst echt gekraakt: lek omzeilt sandbox, DEP en ASLR

Google Chrome is voor het eerst echt lek. Een Frans beveiligingsbedrijf heeft de browser gekraakt en daarbij ook de ingebouwde sandbox-beveiliging omzeild, zodat de kwetsbaarheid daadwerkelijk uitgebuit kan worden. Google gaat de kwestie onderzoeken zodra het meer informatie krijgt van de Fransen.

Voor de duidelijkheid: er worden regelmatig lekken in Google Chrome ontdekt die dan weer gedicht worden met updates. Maar deze lekken konden nooit misbruikt worden omdat de extra sandbox-beveiliging in Chrome - waarbij ieder proces geïsoleerd is - dit verhinderde.

Maar nu heeft het Franse beveiligingsbedrijf Vupen deze sandbox weten te omzeilen. En ook de ingebouwde beveiliging in Windows Vista en 7, ASLR (Address Space Layout Randomization) en DEP (Data Execution Prevention), is buitenspel gezet door de Fransen waardoor de kwetsbaarheid in Google Chrome echt uitgebuit kan worden.

Een primeur voor de Fransen, want Google Chrome - dat als zeer veilig bekend staat - is ook tijdens de bekende hackerwedstrijd Pwn2Own drie jaar op rij niet gekraakt. Google gaat de zaak onderzoeken en Chrome updaten zodra het meer details heeft gekregen van Vupen.

Update 12 mei: Volgens Google is de sandbox niet gekraakt, maar is alleen gebruikgemaakt van een lek in de ingebouwde Flash plugin in Google Chrome

Bron: Vupen