Hvis browserproducenterne skal holde øje med én sikkerhedsbegivenhed hvert år, er den årlige hackerkonkurrence Pwn2Own nok ikke noget dårligt bud.
Her er der tradition for at lægge Chrome, Firefox, Internet Explorer og kompagni på pinebænken for at blotlægge sikkerhedshuller i softwaren.
Og i år er ingen undtagelse, hvor folk fra MWR Labs har fremstillet exploit-kode, der punkterer den indbyggede sandbox-funktionalitet i den seneste stabile udgave af Google Chrome. Sandbox'en er Chromes beskyttede miljø til afvikling af eksempelvis Flash.
»Vi har fremvist et exploit mod hidtil ukendte sårbarheder i Google Chrome på en moderne Windows-bærbar,« skriver MWR Labs i et blogindlæg.
Ikke helt ulig sidste års Chrome-mishandling har hackerne udnyttet en sårbarhed i en renderingsproces til at slippe ud af det sandboxede miljø i Chrome.
Herefter er det lykkedes dem at omgå to af Windows' indbyggede sikkerhedsmekanismer, først ALSR (Address Space Layout Randomisation) og dernæst DEP (Data Execution Prevention), med metoden Return Oriented Exploitation (ROP).
Til sidst er det lykkedes hackerne at eskalere den almindelige brugers rettigheder på maskinen op til administratorniveau ved at udnytte en sårbarhed i Windows-kernen.
Det konkrete exploit demonstrerer altså, hvordan en hacker potentielt set vil kunne opnå fuld kontrol med et intetanende offers pc ved at lede offeret ind på en hjemmeside, hvor fra exploit-koden kan sættes i gang i Chrome.Du kan læse mere i blogindlægget her.
