Předchozí zprávička: Sandbox v Google Chrome konečně padl
Třetí a nejnovější útok má na svědomí teenager známý pod přezdívkou PinkiePie. Víc se o něm neví. Za odměnu dostane opět 60 000 dolarů. Příprava na průlom mu prý zabrala týden a půl a ve výsledku zneužil tři dosud neznámé zranitelnosti (v předchozím pokusu bylo potřeba dvou). Chrome na plně aktualizovaných Windows 7 podlehl naprosto kompletně. Google na odměny za nalezení děr vyhradil jeden milion dolarů, zbylo celých 880 tisíc. Protože soutěž skončila, peníze půjdou týmu zabývajícímu se bezpečností prohlížeče. Chrome Security Team takovou zpráv slyší určitě rád.
V reakci na prolomení bezpečnosti Google opět ve velice krátké době připravil patřičné úpravy, aby se díry zneužít nedaly. Chrome 17.0.963.79 vyšel v sobotu, do této chvíle se již vaše instalace pravděpodobně stihla zaktualizovat (případně stahujte z www.google.com/chrome). PinkiePie prohlásil, že uniknout ze sandboxu bylo to nejsnazší, naopak musel více úsilí vyvinout, aby se do prohlížeče vůbec nějak dostal. Sandbox je přitom považován za jeden z nejlepších bezpečnostních prvků, které nic nepropustí. Google se ale poučil a Chrome je tak zase o něco odolnější. Rozhodně hovoříme o jednom z nejlépe zabezpečených prohlížečů vůbec.
Vzpomínáte na Vupen, tým, který Chrome nachytal na švestkách v soutěži Pwn2Own? Jeden ze tří letošních slavných soutěžních útoků byl podle vývojářů Chromu nakonec zaviněn integrovaným zásuvným modulem Adobe Flash Player. Sandbox tak v tomto případě ironicky padl nikoli vlastním zaviněním.
Zdroj: Pwnium | Google Chrome Releases | Chrome Story 1 | 2