Πέντε λεπτά ήταν αρκετά για να παραβιαστεί ο Google Chrome!

Τι και αν πέρισυ στον ίδιο διαγωνισμό ο Chrome της Google ήταν ο μόνος browser που δεν παραβιάστηκε; Στον φετινό Pwn2Own διαγωνισμό χρειάστηκαν μόλις 5 λεπτά!

Το παραπάνω χρονικό διάστημα και δύο Zero-day bugs ήταν αρκετά για να καμφθεί η αντίσταση των χαρακτηριστικών ασφάλειας DEP και ASLR σε ένα σύστημα με Windows 7 x64 (SP1). O λόγος για την VUPEN Security, μια γαλλικών συμφερόντων εταιρεία ασφάλειας η οποία εμπορεύεται εργαλεία εντοπισμού σφαλμάτων λογισμικού σε κυβερνητικούς πελάτες.

Η εταιρεία, μετά από την πρόσκληση/ πρόκληση της Google έβαλε στο μάτι τον Chrome για τον φετινό διαγωνισμό και τελικά κατάφερε να τον "παραβιάσει". Όπως δήλωσε ο συνιδρυτής της VUPEN Security, Chaouki Bekrar χρειάστηκαν έξι εβδομάδες σχεδιασμού και προετοιμασίας για την επίθεση. Επίσης έστειλε σαφές μήνυμα: "δεν υπάρχει λογισμικό το οποίο δεν παραβιάζεται, εάν οι hackers έχουν αρκετά κίνητρα για να προετοιμαστούν και να εξαπολύσουν την επίθεση". Στα πλαίσια του διαγωνισμού η VUPEN Security κέρδισε 32 πόντους για την επιτυχία της με τον Chrome και άλλους 32 για παρόμοια επιτυχία με τον Internet Explorer.

Η VUPEN Security κατάφερε να εκτελέσει κώδικα στον Google Chrome και να παρακάμψει την ασφάλεια sandbox ενώ το ίδιο έκανε και με τον Internet Explorer της Microsoft, δηλαδή προσπέρασε την προστασία του (Protective Mode Bypass) με αποτέλεσμα να εκτελέσει κώδικα. Μέχρι αυτή την ώρα, η VUPEN Security έχει κερδίσει 164 πόντους.