Na poznatom godišnjem natjecanju računalnih programera, ‘Pwn2Own‘, natjecatelji sigurnosnog tima francuske tvrtke Vupen, demonstrirali su uspješan način kompromitiranja Google Chrome web preglednika.
Za svoj uspješan ‘hacking‘, tim iz Vupena primjenio je dva ‘zero-day‘ propusta. Proces uspješne kompromitacije započinje posjećivanjem posebno prilagođenom web sjedištu nakon čega se pokreće exploit koji otvara Chrome calculator dodatak izvan sandboxa web preglednika kako bi se preuzela potpuna kontrola nad ažuriranim 64-bitnom Windows 7 OS-u. Vođa tima, Chaouki Bekrar, kazao je da su radili oko šest tjedana kako bi pronašli i isprogramirali dvije ranjivosti, od kojih jedna zaobilazi DEP i ASLR sigurnosne značajke na Windowsima te druga koja izbjegava Chromeovu sandbox tehnologiju, prenosi cert.hr.
Bekrar nije želio potvrditi je ciljano i na ‘third-party‘ kodove unutar preglednika, a ovdje je riječ o postojanosti ‘use-after-free‘ ranjivosti u inicijalnoj instalaciji Chromea. Inače, zanimljivo je da je Googleov sigurnosni tim povukao svoje sponzorstvo kada je otkriveno da je natjecateljima dopušten ulaz na Pwn2Own bez obveze prema proizvođačima o otkrivanju načina potpunog iskorištavanja ranjivosti.