Een probleem in Google Chrome maakt het mogelijk om willekeurige code uit te voeren, maar volgens Google gaat het hier om "vreemd gedrag", terwijl beveiligingsbedrijf ACROS Security van een beveiligingslek spreekt. Chrome start namelijk een bestand genaamd pkcs11.txt uit de "werk directory" en zal de inhoud van het bestand uitvoeren. Een aanvaller zou in een tijdelijke map een DLL-bestand kunnen plaatsen dat dan wordt uitgevoerd. De sandbox biedt in dit geval geen bescherming, omdat het Chrome.exe proces het bestand opent en uitvoert.

De aanval lijkt echter vooral een theoretisch probleem te zijn. De kwetsbaarheid werkt alleen als er aan drie voorwaarden wordt voldaan. Ten eerste moet Google niet de standaard zoekmachine zijn, iets wat wel standaard staat ingesteld. De gebruiker mag voor de aanval geen enkele HTTPS-site hebben bezocht, iets wat wel gebeurt met Google als zoekmachine. Daarnaast moet de werk directory staan ingesteld op een locatie van de aanvaller. Google stelt dat dit geen beveiligingslek is, maar "vreemd gedrag" dat mogelijk zal worden veranderd in de toekomst.

Social engineering
ACROS is het daarn niet mee eens. Elke feature die volgens de beveiliger het in stilte uitvoeren van code mogelijk maakt, noemt het een beveiligingslek. Een van de redenen die Google aandraagt is dat er voor de aanval vrij veel social engineering vereist is. "Google's beredenering opent dan ook een interessante en belangrijke vraag: hoeveel social engineering is teveel?", vraagt analist Mitja Kolsek zich af. Hieronder een video die de aanval demonstreert.