Digitale clusterbom nekte Google Chrome
De tiener die in maart van dit jaar Google Chrome wist te hacken, gebruikte hiervoor een digitale 'clusterbom', zo laat de zoekgigant weten. Een onbekende beveiligingsonderzoeker genaamd 'Pinkie Pie' wist uit de sandbox-beveiliging van de Chrome browser te breken en willekeurige code op het onderliggende systeem uit te voeren. De hack was onderdeel van de door Google georganiseerde Pwnium hackerwedstrijd. De tiener had van zijn werk geen toestemming gekregen om deel te nemen schreef zich daarom onder een alias in.
Sandbox
Voor zijn exploit reeg Pinkie Pie zes verschillende bugs aan elkaar, waardoor het hem lukte om uit de sandbox te ontsnappen. De aanval begon met een lek in de prerendering functie van Chrome. Die moet ervoor zorgen dat Chrome websites laadt en rendert voordat de bezoeker die opent, waardoor websites veel sneller geladen worden.
De prerenderer blokkeert plug-ins tot de gebruiker de website opent. Pinkie Pie ontdekte dat navigeren naar een eerder gerenderde pagina toch alle plug-ins uitvoert, zelfs Native Client plug-ins, wat normaal alleen geinstalleerde extensies en apps mogen doen.
Details
Zoals eerder toegezegd heeft Google een analyse van de exploit online gezet, die laat zien dat verschillende, kleinere lekken bij elkaar genomen een vernietigend effect kunnen hebben. Alle kwetsbaarheden zijn inmiddels gepatcht, maar details zijn nog niet vrijgegeven. Dat doet Google pas als alle Chrome-gebruikers en 'Chromium embedders' zijn geüpdatet. Voor zijn hack ontving Pinkie Pie 60.000 dollar.
--
wat heeft een werkgever er mee te maken wat ik in mijn vrije tijd doe.
Als jij de naam van je werkgever door het slijk haalt door te hacken, dan zou het kunnen dat klanten weglopen. Die willen niet het risico lopen dat een ongeleid projectiel een achterdeurtje in hun software maakt.
Imago van bedrijf misschien? Sommige voetballers mogen van hun club ook niet de pers te woord staan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.