Een voormalig medewerker van Google heeft een zero day-aanval op Google Chrome op Fedora gedemonstreerd. Ook Ubuntu is kwetsbaar als de mp3-optie tijdens de installatie is geselecteerd. Een beveiligingsoplossing is nog niet voorhanden.

Volgens onderzoeker Chris Evans, tegenwoordig werkzaam voor Tesla Motors en voorheen verantwoordelijk voor Google's hackerteam Project Zero, zorgen twee riskante ontwerpkeuzes in Google Chrome en Fedora ervoor dat gebruikers via drive by-downloads kunnen worden aangevallen. In dit geval volstaat het bezoeken van een gehackte of kwaadaardige website.

De eerste riskante ontwerpkeuze is dat Chrome automatisch bestanden downloadt zonder dat hiervoor een bevestiging van de gebruiker voor is vereist. Evans stelt dat Chrome de veiligste algemene browser is. Dat geldt echter niet voor de optie dat bestanden automatisch worden opgeslagen. De manier waarop Firefox dan ook bestanden opslaat is volgens de onderzoeker "superieur" ten opzichte van die van Chrome, aangezien gebruikers bij deze browser downloads wel moeten bevestigen.

Het tweede probleem is dat de "tracker" software van Fedora automatisch gedownloade bestanden doorzoekt en indexeert, waaronder mediabestanden. Een aanvaller kan Chrome een kwaadaardig mediabestand laten downloaden dat vervolgens door de tracker wordt geïndexeerd. In het geval van een kwaadaardig mediabestand kan de aanvaller op deze manier zijn kwaadaardige code laten uitvoeren. Evans ontwikkelde een exploit die van dit proces misbruik maakt. Vooralsnog zorgt de exploit in het mediabestand ervoor dat er een crash plaatsvindt. Evans gaat echter kijken of het ook mogelijk is om willekeurige code uit te voeren.

Ubuntu 16.04 is ook kwetsbaar zolang de mp3-optie tijdens de installatie is geselecteerd. Evans merkt op dat de kwetsbaarheid minstens teruggaat tot Ubuntu 12.04. Ubuntu lijkt standaard geen desktopbestanden te indexeren. Daardoor is de impact kleiner, maar een aanvaller zou nog steeds een aanval via een usb-stick kunnen uitvoeren of de exploit naar het slachtoffer e-mailen die het bestand dan in een mediaspeler zou moeten openen.

"Dit was gewoon te eenvoudig. Het zou niet mogelijk moeten zijn om na een paar minuten onderzoek een ernstige geheugencorruptie-kwetsbaarheid in de standaard Linux-desktop te vinden. Hoewel het lastig is om te zeggen doen dit soort problemen zich niet voor met de standaardinstallatie van Windows 10. Is het mogelijk dat de veiligheid van de Linux-desktop aan het afbrokkelen is?", stelt Evans de vraag. De onderzoeker maakt nergens melding dat hij Google of Fedora heeft ingelicht. Chrome-gebruikers kunnen het automatisch downloaden van bestanden echter uitschakelen via de opties van de browser.