Google gaat een onderzoeker voor het melden van een ernstig beveiligingslek in Chrome OS waardoor een aanvaller op afstand code met rootrechten kon uitvoeren 100.000 dollar betalen. Chrome OS wordt als een zeer veilig besturingssysteem gezien en kwetsbaarheden waardoor het systeem kan worden overgenomen worden zelden gemeld.

Het beveiligingslek kwam in oktober al aan het licht, maar de onderzoeker heeft nu op het blog van Google meer details gegeven. Chrome OS maakt onder andere gebruik van het c-ares project. Dit is een softwarebibliotheek voor asynchrone dns-verzoeken. Een kwetsbaarheid hierin bleek het mogelijk te maken voor een aanvaller om via JavaScript code met rootrechten uit te voeren. Het bezoeken van een gehackte of kwaadaardige website zou in dit geval voldoende zijn geweest. Google bestempelde het probleem als ernstig, de hoogste beoordeling voor kwetsbaarheden.

Deadline

Het probleem werd op 21 september bij Google gerapporteerd. De internetgigant hanteert een deadline van 30 dagen voor het patchen van ernstige beveiligingslekken, maar bleek in dit geval de eigen deadline niet te halen. Afgelopen maandag werd de melding pas gesloten en de status van de kwetsbaarheid op gepatcht gezet, zo blijkt uit de bugmelding die gisterenavond openbaar werd gemaakt.

Google heeft een beloningsprogramma voor onderzoekers die kwetsbaarheden in Chrome OS rapporteren. Beloningen voor deze meldingen liggen tussen de 500 en 100.000 dollar. De hoofdprijs is voor kwetsbaarheden waardoor een Chromebook, die op Chrome OS draait, via een website kan worden gehackt. De hack moet in de gastmodus van Chrome OS plaatsvinden en een herstart van het systeem overleven. Iets wat de onderzoeker in kwestie heeft gedemonstreerd.