Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Je kunt ook een cookievrije versie van de website bezoeken met minder functionaliteit. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 84 reacties, 47.159 views •
Submitter: hAl

Googles browser Chrome is voor de derde keer in korte tijd gekraakt. Een tiener vond een manier om via drie exploits uit de sandbox te breken. Details van de kwetsbaarheid zijn niet bekendgemaakt, maar het lek is al gedicht.

Een tiener met nickname Pinkie Pie heeft de kwetsbaarheid ingediend bij Pwnium, een wedstrijd die Google zelf uitschreef om kwetsbaarheden in Chrome te vinden. Een ontwikkelaar die de beveiliging van Chrome volledig kraakt, wint 60.000 dollar en een Chromebook. De wedstrijd is inmiddels afgelopen.

Details over de drie lekken die Pinkie Pie heeft gevonden zijn niet bekendgemaakt. Dankzij de exploit had een kwaadwillende aan de sandbox waarin Chrome draait kunnen ontsnappen, waardoor schade kon worden aangericht aan een computer. De exploit vroeg geen actie van een gebruiker, schrijft ZDNet, die Pinkie Pie sprak.

Met de exploit van Pinkie Pie komt het aantal keren dat Chrome gekraakt is afgelopen weken op drie: twee keer via Pwnium en een keer via hackwedstrijd Pwn2Own. De lekken die in Pwnium zijn blootgelegd, zijn inmiddels gerepareerd. De details van het lek op Pwn2Own zijn in bezit van Vupen, een bedrijf dat exploits verkoopt aan overheden. Daardoor beschikt Google niet over de details en kan het lek dus niet worden gedicht. De details van hacks op Pwn2Own hoeven sinds dit jaar niet te worden geopenbaard. Daarom besloot Google Pwn2Own niet meer te sponsoren, maar hield het met Pwnium een eigen evenement.

Reacties (84)

Reactiefilter:-184082+161+211+30
Hoe groot is de kans dat dit hetzelfde lek als dat van Vupen is? In dat geval zou Google er gemakkelijk vanaf komen...
En toch geloven mensen er heilig in dat Chrome de veiligste browser is. Ondanks dat werd Chrome als eerste gehacked, gevolgd door Internet Explorer en Firefox als laatste.

Bron : http://en.wikipedia.org/wiki/Pwn2Own#Contest_2012
Na 6 maanden voorbereiding, inderdaad. Zegt wat mij betreft weinig.
Die voorbereiding hadden ze in feite ook voor de overige browsers. In mijn ogen heeft Chrome geen unieke behandeling gekregen tegenover de competitie.
In dat geval zegt het nog steeds niet veel meer welke browser eerst gekraakt is, maar meer welk team eerder ingepland stond.
Chrome was voor zover ik weet de vorige keer niet gekraakt, natuurlijk gaan ze dan meer focussen op Chrome de volgende keer. Zo een hackwedstrijd zegt op zich weinig.
Google schrijft een goed geldbedrag uit als je een exploit vindt. Dan is het ook wel lucratief om een exploit te vinden, ik denk dat dat ook wel meespeelt.
Door een flink geldbedrag uit te loven voor exploits zal je product op den duur wel beter worden ja. Echter trek je zo ook bewust de aandacht van bepaalde hackers die deze nieuwe exploits zullen misbruiken.

Zolang er nog geen patches beschikbaar zijn Chrome-gebruikers potentieel doelwit voor cybercriminelen.

Het mes snijdt in dit geval aan twee kanten... Persoonlijk zou ik de voorkeur geven aan een "low-profile" instelling. Je verwacht toch dat diegene die een browser maakt zelf goed in staat is om exploits op te lossen. Externe bronnen inwinnen kan profitabel zijn, echter brengt dit soort aandachttrekkerij ook potentiële risico's met zich mee.

[Reactie gewijzigd door Titan_Fox op 12 maart 2012 13:23]

Het low profile gebeuren neigt wel een beetje naar 'security door obscurity'. Ik heb veel liever dat exploits gevonden worden op een hackwedstrijd dan dat ze niet aan het licht komen en niet gedicht worden.
Je gelooft toch niet dat kwaadwillige hackers een browser meer gaan targetten omdat er eventjes enkele exploits in het nieuws gekomen zijn...die vallen gewoon aan wat ze willen en gaan dat natuurlijk niet aan de grote klok hangen.
(Reactie op Titan_Fox) Zo lang de exploits aan Google bekend gemaakt worden en (nog) niet aan het grote publiek, is er voor die hackers niets te misbruiken. Zij horen er pas van nádat het lek is gedicht. (Kennelijk i.t.t. bepaalde overheden die Vupen grof geld voor exploits betalen.)

[Reactie gewijzigd door Gwaihir op 12 maart 2012 19:57]

Sorry, maar dat vind ik een tikje naďef. Hackers hebben een onderlinge reputatie. Indien er een exploit aan Google gemeld wordt, is er zeker een kans dat deze bij meerdere hackers bekend is. Met alle gevolgen van dien.
En toch geloven mensen er heilig in dat Chrome de veiligste browser is. Ondanks dat werd Chrome als eerste gehacked, gevolgd door Internet Explorer en Firefox als laatste.
Als MS 120.000 dollar had uitgeschreven was IE waarschijnlijk als eerste gehackt. Dit zegt mij dus echt weinig.

100% veilige software bestaat niet, als je maar genoeg geld uitlooft voor het vinden van een lek gaan er altijd wel een hoop mensen op los en is het een kwestie van tijd, en dan nog heeft de voorbereiding erg lang geduurd.

Bovendien is mijn motivitaite (en die van heel veel anderen) om Chrome te gebruiken niet vanwege de veiligheid, maar omdat de browser gewoon veel fijner werkt dan andere browsers zoals IE en Firefox.
"Overigens complimenteerde Chaouki Bekrar Google met de beveiliging van Chrome, die volgens hem de veiligste sandbox heeft."
uit: nieuws: Chrome 5 minuten na start Pwn2Own-hackwedstrijd geveld
Chaouki Bekrar is mede-oprichter van VUPEN, het bedrijf dat Chrome wist te hacken tijdens Pwn2Own.
Die hackers zegen anders wel zelf dat Chrome de veiligste sandbox heeft....
Overigens complimenteerde Chaouki Bekrar Google met de beveiliging van Chrome, die volgens hem de veiligste sandbox heeft.
Bron: nieuws: Chrome 5 minuten na start Pwn2Own-hackwedstrijd geveld
Dat ze Chrome als eerste hebben gedaan is juist omdat hij het veiligste/moeilijkste te hacken is.

Het zou wat suf zijn als ze 'weer een lek' in Internet Explorer als eerste laten zien, niet echt een goede binnenkomer. Binnenkomen met het meest nieuwswaardige item levert de meeste aandacht op.

Vooral voor het bedrijf dat het heeft gehackt, wat zelf in beveiliging zit is dat natuurlijk de beste reclame.
Je kan hem zelf aanpassen hoor... Dus je kan hem ook gewoon mooi maken :)
Ja nieuwe software dan duurt het even voor dat men de fouten vind maar dan komen ze uit eindelijk toch te voorschijn. ik blijf vertrouwen of firefox is naar mijn idee toch een vrijer en opener platform dan Chroom
Ik blijf het debiel vinden dat de details van het lek van Pwn2Own geheim blijven...
Het was toch juist het hele punt van die wedstrijden om er vervolgens voor te zorgen dat de gevonden lekken gedicht worden?

Ik zou het bijna illegaal willen noemen dat vupen dit voor eigen gewin geheim houdt.
Nou komt neer als wat anonymous doet, maar dan legaal... Omdat het van de overheid mag.. Zeer krom, komkommer tijd..
Ben benieuwd of er ook gegevens zijn gejat, dit zullen ze natuurlijk niet vertellen..

Zo ga je de bak in voor het hacken, en zo mag je legaal op een evenement hacken, waarbij de gevolgen hetzelfde zijn.. Slaat toch even nergens op ..
Nou komt neer als wat anonymous doet, maar dan legaal
Ik vraag me af of het legaal is. In welk land wordt Pwn2Own georganiseerd? Ik kan er niets over vinden, maar ik kan me voorstellen dat dit niet bij voorbaat legaal is.

Ik ben in principe niet voor het straffen van hackers van websites (o.a. omdat dit niet te controleren en handhaven is en je zo de verantwoordelijkheid weghaalt bij de beheerder) maar het organiseren en belonen van hacks op een black-hat manier is weer een hele andere categorie. Het verbaasde mij ook nogal dat de details niet hoeven te worden vrijgegeven.
Pwn2Own wordt georganiseerd in amerika, en is onderdeel van de beurs CanSecWest. Deze beurs heeft grote sponsors waaronder Microsoft, adobe en vele anderen. De wedstrijd zelf wordt door onder andere Google en HP gesponsord. Dus legaal is het wel.

Sterker nog hacken is gewoon legaal, het is wat je met het eind resultaat doet dat er toe doet. Hierbij hebben we het over exploits en lekken vinden in apparatuur/programmas, niet het inbreken in netwerken of websites.

Daarnaast moet je niet vergeten dat er ook zoiets bestaat als bedrijven die met security hun geld verdienen. Deze bedrijven verkopen of exploits aan overheden en andere geďnteresseerde bedrijven of gebruiken exploits om in opdracht beveiligingen te testen of te verbeteren.
Persoonlijk heb ik er ook wel moeite mee dat exploits geheim gehouden worden.

Geld verdienen heb ik geen moeite mee, iedereen moet eten, maar verkopen aan overheden en andere bedrijven? Nee, daar zit toch wel een luchtje aan.
Tegenhanger in real life:
Slotenmaker S. schrijft een wedstrijd uit om een sleutel te maken.
Sleutelmaker K. wint de wedstrijd, en gaat vervolgens de sleutels verkopen, niet aan S, maar aan iedereen die 'm wil hebben?
Sorry hoor, maar als het als een geheim aan overheden verkocht word, dan word het niet gebruikt om te testen. In dat geval is de logische conclusie dat het word gebruikt om andere overheden / bedrijven mee te hacken (waarschijnlijk voor spionage doeleinden).
TENZIJ de overheid de exploits daarna bekent maakt.. maar geloof jij dat? :P
CanSecWest is in Canada, Vancouver om exact te zijn.

Tevens is het niet zo dat alle lekker geheim gehouden worden. ZDI heeft momenteel 3 0days in 3 verschillende browsers en zal vandaag deze informatie met de betrokken vendors delen.

Het enige wat niet verplicht vrij geven hoefde te worden is de gebruikte sandbox escapes. De reden hiervoor staan beschreven in http://dvlabs.tippingpoin.../02/29/pwn2own-and-pwnium
Zolang het niet misbruikt wordt lijkt mij er weinig illegaals aan.
Men gaat lokaal op zoek naar bugs, zonder daar verdere schade mee aan te richten.
Als dat illegaal zou zijn, zouden stresstools e.d. dat ook zijn.
stresstools zijn illegaal als je ze gebruikt op app. waarvoor je geen permissie hebt gekregen. dan hoeft het niet perse misbruik te zijn...
Ik denk dat je in de war bent met onrechtmatig, dat is niet hetzelfde als illegaal. In het laatste geval moet het gaan om een strafbaar feit en dat is het niet. Zie de auteurswet art. 29.

Als er iets van een rechter aan te pas komt, gaat het in zulke gevallen om civiel recht en niet om strafrecht.

[Reactie gewijzigd door EnigmA-X op 12 maart 2012 20:10]

aangezien je met een stresstool een server onderuit zou kunnen halen bij teveel verzoeken kun je de server beschadigen. Dergelijke acties zijn wel degelijk strafbaar :)
Op apparaten van een ander, ja. Maar Op applicaties die jij mag gebruiken (die je een licentie voor hebt) die je op je eigen hardware draait mag je prima stresstools draaien. Dat is noch illegaal noch onrechtmatig.

En dat is wat er gebeurt bij dit soort events.
hacken ansich is gewoon creatief softwaregebruik/development, dus niet illegaal...

vergelijk het met tools van een loodgieter, je kunt er iets mee aanleggen maar je kunt ook iemands hoofd inslaan met een lode pijp: dat betekend niet dat die pijp "illegaal" is..
Dat zal ook de reden zijn dat Google sponsoring ervan heeft stop gezet. Ik denk dat ze weinig sponsors overhouden als ze op deze manier "zaken" doen.
Een partij als Vupen heeft niets aan het openbaar maken van de door hun gebruikte methode. Zij zouden dus niet meewerken aan een wedstrijd waarin ze de gegevens openbaar moeten maken.

Door de wedstrijd zo in te richten dat (een deel van) de methode geheim kan blijven komen er dus meer bugs naar boven. Anderen kunnen dan weer die bugs gaan reproduceren en oplossen of (zoals bij Pwn2Own de bedoeling is) firewall ontwikkelaars kunnen hun producten aanpassen zodat de kwaadaardige code de firewall niet door komt.

Niet iedereen heeft er belang bij dat alle bugs worden opgelost en voor een bepaalde categorie deelnemers/sponsers werkt dit gewoon beter.

Vupen moet vooral doen wat men wil. Mensen dwingen om kennis gratis beschikbaar te stellen klinkt mij niet echt positief in de oren. Ik neem aan dat je een zin als "Ik zou het bijna illegaal willen noemen dat Google voor eigen gewin hun algoritmes geheim houdt" niet logisch zou vinden. (En zo wel. Vul maar een ander bedrijf in met een succesvol product. Voor maximaal effect, het product waar je zelf net een jaar van je leven in gestoken hebt)
het geheimhouden van informatie mag dan legaal zijn. Ik denk echter dat hier vooral gaat of het faciliteren van hacken (door overheden) legaal is. Vaak zie je dat rechters niet alleen het "doen" maar ook het "faciliteren" van illegale praktijken als illegaal bestempelen.
Ik heb rechters nog niet horen uitspreken dat een bedrijf zijn software snel moet patchen. Zolang een rechter een ontwikkelaar niet verplicht om snel zijn software te patchen of uit de handel te halen, is er terdege wel een reden om dergelijke exploits niet publiekelijk kenbaar te maken.

Dat ze er wel zijn, en dat er misschien gebruik van wordt gemaakt is een ander, en misschien eng, verhaal. Maar ik ben huiveriger voor de mantel van liefde waarbij je vervolgens als groot bedrijf achteraan mag vissen omdat je andermans software gebruikt en vervolgens (inter)net niet ten volle kunt benutten,

dan voor een grote enge overheid.
Een partij als Vupen heeft niets aan het openbaar maken van de door hun gebruikte methode.
Correctie: ze hebben daardoor geen commercieel gewin. De hele wereld heeft er wat aan als exploits bekend worden gemaakt namelijk veiligere software en dus een veiliger internet. Vupen is inderdaad tot niets verplicht maar er bestaat ook nog zoiets als etiquette. Financieel gewin uit lekken in software buiten de softwaremaker om vind ik verre van eervolle business.

[Reactie gewijzigd door 2fish op 12 maart 2012 09:49]

Vupen moet vooral doen wat men wil. Mensen dwingen om kennis gratis beschikbaar te stellen klinkt mij niet echt positief in de oren. Ik neem aan dat je een zin als "Ik zou het bijna illegaal willen noemen dat Google voor eigen gewin hun algoritmes geheim houdt" niet logisch zou vinden. (En zo wel. Vul maar een ander bedrijf in met een succesvol product. Voor maximaal effect, het product waar je zelf net een jaar van je leven in gestoken hebt)
Dwingen lijkt mij ook niet goed. Maar vergeet niet dat er ook andere modellen zijn om het 'economische belang te bevredigen'.

Open/gesloten kennis goed of slecht, dat lijkt me keer op keer verschillend. Een voorbeeldje hiervan is het ontstaan van het internet en de gebruikte open standaarden.
Ik vind het uitstekend dat die details geheim blijven. Het alternatief is dat het lek helemaal niet boven water komt maar tegelijkertijd wel door Vupen wordt gebruikt. De bakkers van Chrome weten nu dat er zo'n lek is en zullen ongetwijfeld van hogerhand enorme druk opgelegd krijgen om de oorzaak van dat lek op te sporen en te dichten.

Dat Vupen zo'n lek bekend maakt kan eigenlijk maar een doel hebben: naamsbekendheid krijgen en daardoor klanten werven. Vupen weet dat hiermee ook de aandacht van de Chrome programmeurs te winnen: zij zullen het lek proberen te dichten. Het kan eigenlijk niet anders zijn dan dat Vupen nog een batterij lekken voor haar werkzaamheden ter beschikking heeft.
Uiteraard willen ze er eerst geld voor zien en kijken wie er de meeste poen voor wil betalen. Google of iemand anders. Je gaat natuurlijk niet de beer verkopen voordat deze geschoten is.
Het is door een grappige foutcode (0xABAD1DEA) in Chrome aannemelijk geworden dat de exploit in de meegeleverde flash zit. http://www.security.nl/ar..._voor_Chrome-hackers.html
Dit zit in de standaard installatie van Chrome.
-edit- note to self: Beter de reacties lezen, subcultural heeft dat vanmorgen (verder naar onderen) al gemeld.

[Reactie gewijzigd door Vaan Banaan op 12 maart 2012 20:10]

Ik ben niet echt bekend in de wereld van de exploits, en verbeter mij alstublieft als ik het fout heb.

" De details van het lek op Pwn2Own is in bezit van Vupen, een bedrijf dat exploits verkoopt aan overheden. "

Het verkopen van exploits aan overheden, wat bedoelen ze daar mee?
Gebruiken ze deze informatie om systemen van overheden te verbeteren en dus veiliger te maken, of gebruiken ze dit om spyware gemaakt door de overheid op systemen van mogelijke daders te zetten?
Nee, zodat overheden computers kunnen hacken. Vooral de Nederlandse politie lijkt hier heel erg mee bezig de afgelopen tijd ;)
Dat laatste, de overheid begint een soort van Soviet Russia
waar de computer zegt wat je moet doen vrees ik :(
Ook landen uit het middenoosten zijn geďntereseerd, het tereur van aller dag verplaatst zich van fysiek geweld met wapens naar cybercrime.
Op het internet is steeds meer te halen, belangrijke geld transacties verlopen allemaal virtueel. Maar ook steeds meer persoonlijke gegevens staan op computers. Kortom interessant voor meerdere partijen ;)
Wat hierboven ook al gezegd wordt, dat Vulpen uberhaupt exploits wilt verkopen gaat in mijn idee nergens over...

Ik hoop dus zeker dat het gevonden lek inderdaad dat lek is!!

Uiteraard, bedrijf wilt geld verdienen etc etc maar of dat moet door de privacy van mensen in gevaar te brengen? voor mij absoluut niet !!

en tiener? dus maximaal 19 jaar oud?
Respect hoor! :-)

ook leuk dat Google het meteen gaat patchen,
al met al dus wel een nieuwsbericht wat de dag leuk laat beginnen
Nogal suggestieve titel die doet uitschijnen dat Chrome zo lek als een mandje is, terwijl dit in wezen niet is.

Leuk verhaal over Vupen en hoe Google hun exploit heeft kunnen ontmaskeren, of op zijn minst hun werkwijze en route.
http://www.zdnet.com/blog...utm_content=Google+Reader
Ik ben het met je eens dat de titel nogal suggistief is.
Maar wat ik wel apart vindt is dat er in Chrome 3 lekken zijn gevonden in IE6-10Beta ook 1 (ook door Vupen) en over Firefox niets gehoord..

Laat maar, dat ligt aan de berichtgeving op tweakers.:
http://www.geek-news.net/...-and-ie9-all-fall-at.html
http://www.gratissoftware...irefox-gehackt-op-pwn2own

[Reactie gewijzigd door IJsbeer op 12 maart 2012 08:32]

Vermoedelijk omdat Firefox ook niet direct relevant was voor het Google evenement,
en IE altijd interessant is door de mensen die het gebruiken ( geen flame naar Internet Explorer gebruikers, maar een stereotype beeld leert ons dat ze een acer laptop en een VMBO Basis diploma op zak hebben, en helaas daarmee niet het licht uitgevonden hebben)

Firefox heeft daarbij het voordeel dat ze tegenwoordig wel een stuk sneller met updates kunnen komen, en ze hun veiligheidszaken voor mijn gevoel altijd wel goed op pijl hadden?

Edit: Ah verrek ! dan zit het daar ja!

[Reactie gewijzigd door Xantios op 12 maart 2012 08:38]

Wel typisch dat Opera en Safari ook daar niet genoemd worden. Hebben die te weinig gebruikers waardoor ze voor hackers niet interessant zijn (vooral black hats, spammers en andere criminelen willen zoveel mogelijk systemen kunnen binnendringen met zo weinig mogelijk moeite omdat het geld verdiend wordt met de grote aantallen). Is het omdat ze geen geld ter beschikking stellen voor gevonden lekken of zijn ze echt veiliger.
Het eerste is natuurlijk een voordeel voor de huidige gebruikers maar valt weg als deze browsers te populair worden. Ook in een niche zitten kan voordelen hebben.

Zelf vind ik Opera de fijnste browser, behalve als je een pagina wilt printen, dat werkt vaak niet goed of niet. Met IE wordt wer wel afgedrukt maar is het resultaat meestal ook om te huilen.
Het artikel op geek-news meldt dat Safari niet is 'aangevallen'. Niet aangevallen = niet gehacked...
Wegens het geringe marktaandeel is Opera geen onderdeel van de wedstrijd.

Dat Safari ongeschonden uit de strijd is gekomen is helaas geen bewijs van de veiligheid van Safari.
Men weet (mogelijk) waar het lek kan zitten. Tegelijkertijd werkt het lek wel gewoon. De patch heeft dus niet gewerkt. Er zullen wel meer debug messages in een browser zitten waarmee je een probleem kan lokaliseren.

Een leuk verhaal waarmee Google vooral aangeeft dat 10 maanden na dato een bepaald probleem nog niet structureel is opgelost.
Titels op Tweakers.net beginnen steeds meer op nu.nl en de kranten te lijken.... Titel laat denken dat het iets ergs is en als je dan verder leest valt het altijd wel mee.... Beetje jammer vind ik dat.
Tja, het bewijst maar gewoon dat Chrome net zo lek als een mandje is als dat de chromeliefhebbers IE verwijten.. en dat is ook gewoon, beide browsers zijn net zo (on)veilig..
ik vind het goed dat men op deze manier gaten probeert te vinden, en dan snel dichten.
er zullen altijd lekken zijn maar hoe meer je er vind en dicht hoe moeilijker het word voor kwaad willende .......

maar dat die andere knuppel alleen tegen betaling dingen prijs geeft ,, vraagt ie dan zoveel meer dan die 60 K ??

als die knuppel het verkoopt aan wie maar betaald zou die gast eigenlijk een bad standing moeten krijgen :(
Het is geen gast, het is een vrij groot bedrijf. Ze zijn begonnen met het verkopen van details over exploits nadat een Franse rechter had bepaald dat ze ze niet meer mochten publiceren.
Off topic: Weet iemand misschien of Opera ook gehacked/exploit is?

On topic: Dat de details over een zero-day exploit niet uit worden gebracht, wil toch niet zeggen dat ze de exploit niet kunnen dichten? Dat vind ik wel een beetje kort door de bocht, vooral gezien de link die subcultural ook al stuurde. Blijkbaar is google wel in staat om uit te vinden waar de exploit gebruik van maakt.
In iedere code zitten fouten en lekker, Opera valt daar ook onder:
nieuws: Zero day-exploit voor Opera gepubliceerd - update

De enigste manier om er onderuit te komen is een browser gebruiken welke maar door een klein groepje mensen gebruikt wordt zodat het voor de hackers niet loont om er exploits voor te schrijven.
Dat is dan toch Opera?
Dat lek is inmiddels gedicht (zoeken op Opera binnen tweakers.net had ik al gedaan). Ik bedoel specifiek tijdens deze hacker contests. Blijkbaar is dat niet gebeurd, anders had iemand dat inmiddels wel gezegd...

EDIT: na zelf even rond gekeken te hebben, kwam ik tot de ontdekking dat Opera sowieso buitengesloten is van het event, omdat het te weinig gebruikt zou worden.
Link

[Reactie gewijzigd door GeneralX op 12 maart 2012 18:17]

Veel exploits in chrome komen uit de Flash plug-in. Doordat Flash meegeleverd is met Chrome zijn ze verantwoordelijk voor de veiligheid van de flash plug-in. Hierdoor komt Chrome er al snel slecht vanaf. De flash plug-ins in andere browsers zijn namelijk ook vrij lek, zo niet lekker, maar op dat moment ligt het niet meer aan de browser.

[Reactie gewijzigd door Makkelijk op 12 maart 2012 09:07]

Tis ook logisch dat exploits voornamelijk uit de Flash en JavaScript engines komen, dat zijn nou eenmaal de interpreters.

Google heeft ervoor gekozen om de Flash plugin in Chrome in te bouwen en niet de losse plugin van Adobe zelf te gebruiken. Dat is een bewuste design keuze van Google geweest, dus de negatieve consequenties van die (blijkbaar buggy) integratie mag je wel degelijk aan Google toewijzen.

[Reactie gewijzigd door Dreamvoid op 12 maart 2012 13:21]

Voordeel van de methode van Google is dat ze het mogelijk maken om de flash code grotendeels binnen de sandbox van de browser te draaien. Het kost ze veel werk, maar het eind resultaat is een stuk veiliger dan een 'externe' flash plugin
Al met al is dit een prachtig initiatief, en nu google het zelf organiseert is het voor alle partijen zéér goed:

1) Google; organiseert een evenement wat de "hacking community" kan appreciëren, bovendien gegeven ze toe "we zijn niet onhackbaar maar willen er wel iets aan doen".

2) Hackers; kunnen een bom geld verdienen voor wat misschien vaak hun hobby is. 60k is niet niets, voor veel mensen zelfs 3 jaar werken!

3) Gebruikers: Die hebben nut bij het vinden van zulke exploits.

Wat "pwn2own" eigenlijk nu wordt, door het niet vrijgeven van de bugs, is een reclamestunt voor bedrijven als Vupen.

Ik vind de titel van dit artikel dan ook zeer misleidend, het geeft de indruk dat Chrome een gatenkaas is, terwijl men net een evenement heeft georganiseerd om de gaten te zoeken, dus logisch dat hij 3x op korte tijd gekraakt is.

[Reactie gewijzigd door ZesPak op 12 maart 2012 09:52]

Vergeet ook niet dat het schrijven van de exploits ruim 6 weken geduurd heeft. Het uitvoeren van de code duurde daarna maar 5 minuten:
nieuws: Chrome 5 minuten na start Pwn2Own-hackwedstrijd geveld

De tijd die het koste om de code te schrijven zegt imho wel iets over hoe diep ze moesten graven.
De details van het lek op Pwn2Own zijn in bezit van Vupen, een bedrijf dat exploits verkoopt aan overheden

en wat belet Google om ook die informatie te kopen?
VUPEN verdient waarschijnlijk meer als zij juist niet aan Google verkopen.
Want dan verdienen zijn eenmalig terwijl zij wie weet aan hoeveel andere partijen de exploit kunnen verkopen.
Een exploit kopen is heel duur, zoals in het bericht staat is dit lek nog niet gedicht. Het lek geeft de eigenaar dus heel veel macht. Hij/Zij kan immers bij alle google chrome gebruikers inbreken op de computer.

Ik vraag mij alleen af of een virusscanner je kan beschermen tegen exploits.
Hij/Zij kan immers bij alle google chrome gebruikers inbreken op de computer.
Misschien moet je de praktijk niet met de theorie verwisselen. Immers moet je wel bepaalde acties doen (een bepaalde site bezoeken bijv). Oftewel nee niet iedereen is vatbaar en je kan niet zeggen, vandaag wil ik jantje ze computer zien dus activeer ik het lek even... Zo werkt het dus helemaal niet!
Bij het gros van de mensen wel, zet de site die je moet bezoeken in een email en maskeer de link met een hyperlink uit de tekst. Genoeg mensen die daarop klikken
Moet die mail wel eerst door de spamfilter heenkomen. Zelfs hotmail en gmail hebben uitstekende spam-filters.

Je mailtje komt dus niet bij het gros van de mensen aan. Maar bij een gedeelte waarvan ook maar een gedeelte er daadwerkelijk op klikt, wat dus een klein percentage blijft van dat 'gros van de mensen' waar jij het over hebt.

Als het allemaal zo makkelijk was hadden we elke dag een link in de inbox die iets vergelijkbaars deed... Maar gelukkig is dat dus totaal niet zo :)
Hoeft niet de site zijn die in de adresbalk staat. Veel reclame wordt via andere sites geladen. Er hoeft maar eentje een exploit te sturen en je bent het haasje.

Verstandig is het om niet zomaar te clicken op links in een e-mail. En bovendien is het de moeite waard om html berichten niet te accepteren.
Gewoon een advertentie kopen en die voorzien van exploitable code. Presto, je code komt binnen bij de halve wereld.

Op dit item kan niet meer gereageerd worden.



Apple iPhone 6Samsung Galaxy Note 4Apple iPad Air 2FIFA 15Motorola Nexus 6Call of Duty: Advanced WarfareApple WatchWorld of Warcraft: Warlords of Draenor, PC (Windows)Microsoft Xbox One 500GBSamsung

© 1998 - 2014 Tweakers.net B.V. Tweakers is onderdeel van De Persgroep en partner van Computable, Autotrack en Carsom.nl Hosting door True