Den Spezialisten aus dem Hause Vupen ist es gelungen, eine Lücke im aktuellen Chrome-Browser zu nützen, um die Sandbox-Funktion zu umgehen und eigenen Code auf dem angegriffenen Rechner auszuführen.
Auf der Webseite der Sicherheitsforscher wird im Video gezeigt, wie über den Browser der Taschenrechner von Windows gestartet wird. Die genaue Funktionsweise des Eindringens verschweigt Vupen nicht nur dem Zuschauer, sondern auch Google, denn die Informationen teilt das Unternehmen lediglich mit ihren Partnern in der US-Regierung. Will der Suchmaschinen-Anbieter die Ergebnisse auch einsehen, wird er dafür zahlen müssen.
Sandbox von Chrome erstmals geknackt
Laut den Angaben von Vupen wurde zum ersten Mal die eigentlich sehr sichere Sandbox-Funktion von Google Chrome, die einzelne Prozesse im Browser sicher abkapseln soll, geknackt. Es sei auch kein Sicherheitsleck im Windows-Kernel verantwortlich. Der eingeschleuste Code umgeht den Experten zufolge nicht nur die Sandbox, sondern auch die Schutztechnologien Address Space Layout Randomization (ASLR) sowie Data Execution Prevention (DEP).
Chrome geknackt. /
Wann Google mit einem erneuten Update des Browsers reagieren will, ist noch nicht bekannt.
Mit der ersten Beta für Chrome 12 will Google den eigenen Browser weiter besser und schneller machen. So wurde die Hardware-Beschleunigung für grafisch anspruchsvolle Webseiten verbessert. Mit Adobe Flash 10.3 steht zudem eine neue Version des Plugins zur Verfügung. Mit der Chrome-12-Beta kommt zudem der neue Downloadfilter, der verhindern soll, dass die Nutzer schadhafte Dateien heruntergeladen. Die Beta-Version ist ab sofort bei Google für Windows, Linux und Mac OS X verfügbar. Die Testversion ist wie immer kostenlos, die Nutzung erfolgt allerdings auf eigene Gefahr.
