ChromeOS wordt als één van de veiligere besturingssystemen gezien, maar onlangs werd er een kwetsbaarheid in gerapporteerd waardoor een aanvaller op afstand code met rootrechten kon uitvoeren. Het door Google ontwikkelde besturingssysteem draait op Chromebooks, die erg populair in de VS zijn.

ChromeOS maakt onder andere gebruik van het c-ares project. Dit is een softwarebibliotheek voor asynchrone dns-verzoeken. Een kwetsbaarheid hierin bleek het mogelijk te maken voor een aanvaller om via JavaScript code met rootrechten uit te voeren. Het bezoeken van een gehackte of kwaadaardige website zou in dit geval voldoende zijn geweest. "Ik vermoed dat dit de ergste exploit is die voor ChromeOS gemaakt kan worden", zegt Daniel Stenberg, ontwikkelaar bij Mozilla en één van de beheerders van het c-ares project.

Volgens Stenberg gaat het om een zeer complexe exploit die op betrouwbare wijze tegen ChromeOS kan worden uitgevoerd. Exacte details zijn door Google nog niet vrijgegeven, omdat de internetgigant aan verschillende aanvullende beveiligingsmaatregelen werkt. Wel is inmiddels de kwetsbaarheid in c-ares verholpen en heeft Stenberg daarom besloten die in uitgebreid detail op zijn eigen blog te beschrijven.

Volgens de Mozilla-ontwikkelaar laat de kwetsbaarheid zien dat beveiligingslekken die op het eerste gezicht onschuldig lijken toch vergaande gevolgen kunnen hebben en er mensen met voldoende kennis zijn om daar uiteindelijk exploits voor te ontwikkelen. Hij verwacht dan ook dat de persoon die de kwetsbaarheid rapporteerde een grote beloning van Google zal krijgen. Twee jaar geleden beloonde Google de hacker George Hotz nog tijdens een hackwedstrijd met 150.000 dollar voor het hacken van ChromeOS. Inmiddels heeft de internetgigant ook een beloningsprogramma voor het melden van ChromeOS-lekken, waarbij de topbeloning 50.000 dollar is.