De Russische beveiligingsonderzoeker die tijdens de door Google georganiseerde hackerwedstrijd Chrome kraakte, gebruikte hiervoor 14 lekken, bugs, beveiligingsmissers en andere problemen. Sergey Glazunov wist tijdens het Pwnium-evenement als eerste Chrome te hacken, waarvoor hij 60.000 dollar ontving. Glazunov reeg tal van beveiligingsproblemen aan elkaar om uiteindelijk uit de sandbox van Google's browser te ontsnappen en willekeurige code op het onderliggende systeem uit te voeren.

Indrukwekkend
"Waar we vanaf het begin onder de indruk van waren, was dat deze exploit geen geheugencorruptie gebruikte. Het was gebaseerd op een zogeheten "Universal Cross-Site Scripting" (UXSS) lek", zegt Chris Evans, hoofd van het Chrome Security Team. Evans publiceerde een beschrijving van de stappen die Glazunov nam om de aanval uit te voeren.

Daarbij zijn niet alle details prijsgegeven. Bepaalde informatie over de beveiligingsmaatregelen die Google als bescherming tegen de exploit implementeerde blijven geheim. "Wat duidelijk is, is dat Sergey zijn 60.000 dollar zeker heeft verdiend. Hij wist 14 bugs, eigenaardigheden en gemiste beveiligingsverbeteringen aan elkaar te rijgen. Als we verder dan de geldprijs kijken, heeft Sergey geholpen om Chrome stukken veiliger te maken", besluit Evans.