Google-hackers: Chrome zandbak niet gehackt
De veelgeprezen sandbox van Google Chrome is niet gehackt, zoals het Franse beveiligingsbedrijf VUPEN onlangs beweerde. Dat zeggen beveiligingsonderzoekers en Google security engineers Tavis Ormandy en Justin Schuh. VUPEN zou met twee exploits Chrome op de knieën hebben gekregen, en vervolgens het onderliggende Windows besturingssysteem hebben overgenomen. "Zoals gebruikelijk, controleren security-journalisten niet de feiten. VUPEN heeft de sandboxing in Chrome verkeerd begrepen en hadden alleen een Flash bug", aldus Ormandy.
Plugins zijn volgens de onderzoeker de achilleshiel van de browser. In Chrome zijn daarom beveiligingsmaatregelen voor de standaard PDF-plugin aangebracht. "En we werken aan Flash. Geef ons niet de schuld."
Flash
Ormandy krijgt tegengas van beveiligingsonderzoeker Alex Sotirov. "Het enige dat er toe doet is dat ze shell hebben. Je kunt aanvallers niet dwingen om alleen binnen de parameters van de sandbox aan te vallen." Google security engineer Justin Schuh is het er niet mee eens. "Dat is onzin. Ze beweerden Chrome gehackte te hebben. Dat is niet het geval. Hun exploit zou overal werken waar NPAPI Flash draait."
VUPEN laat weten dat de exploit nu ook tegen de nieuwste bètaversie van Chrome 12 werkt.
Geef dan meteen Dell de schuld, daar draait immers windows op, waar chrome op draait, waar flash op draait.
of beter nog, het is de schuld van de zandbakkers voor intel, die maken immers de processors waarme blablabla...
voor hoeveel andere applicaties/plugins zal dit nog gelden???
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.