Beveiligingsbedrijf vindt kwetsbaarheden in Google Chrome

Het Franse beveiligingsbedrijf Vupen heeft kwetsbaarheden in Google Chrome gevonden waarmee een aanvaller code kan uitvoeren op een computer. De browser kwam in de afgelopen 3 jaar ongeschonden door de Pwn2Own-hackingcompetities.

Vupen heeft kwetsbaarheden in de jongste versie van Google Chrome 11 ontdekt, waarmee een aanvaller door middel van een speciaal ontwikkelde website code kan laten downloaden en uitvoeren buiten de ingebouwde sandbox. De hack werkt op zowel 32- als 64bit-versies van Windows 7 SP1 en omzeilt ook de aslr- en dep-beschermingen die Microsoft in het besturingssysteem heeft gebouwd.

Vupen heeft geen informatie over de werking van de hack gepubliceerd. Het bedrijf zegt de details over de '0-day vulnerability' wel te delen met zijn klanten, onder andere overheidsinstanties, maar heeft geen plannen om Google zelf in te lichten. De zoekmachinegigant bevestigt dat het geen informatie van Vupen heeft ontvangen, wat het verifiëren en repareren van het lek bemoeilijkt, blijkt uit navraag door journalist Brian Krebs.

Eerder vond Chaouki Bekrar, oprichter van het Franse beveiligingsbedrijf, op het Pwn2Own 2011-evenement een lek in de Mac OS X-browser Safari, waarmee ook code kon worden uitgevoerd. Google Chrome kwam in de afgelopen drie jaar ongeschonden door de hackingcompetitie, ondanks de beschikbaar gestelde prijs van 20.000 dollar voor de persoon die de browser op de eerste dag zou weten te kraken.

Reacties (54)

DRaakje 10 mei 2011 14:11

Wat eigenlijk het interessantste deel is van dit artikel, komt niet heel duidelijk over op het moment. Namelijk dat het bedrijf bewust niet deelt hoe google het kan fixen of repliceren en het op dit moment alleen maar wilt verkopen aan overheden.

Chaouki Bekar, VUPEN’s CEO and head of research, confirmed that the company had no plans to share any details about their findings with Google, nor was it aware of any steps users could take to mitigate the threat from this attack.

“No, we did not alert Google as we only share our vulnerability research with our Government customers for defensive and offensive security,” Bekar wrote in response to an emailed request for comment. “Unfortunately, we are not aware of any mitigation to protect against these vulnerabilities.”

Is toch redelijk eng.

[Reactie gewijzigd door DRaakje op 23 juli 2024 03:00]

D-Raven @DRaakje • 10 mei 2011 14:38

Schofterig dat ze deze informatie niet doorspelen. Dat gezegd, ik zou me niks verbazen als Google de details van deze hack via indirecte wegen alsnog in handen krijgen.

Icekiller2k6 @D-Raven • 10 mei 2011 15:06

Schofterig dat ze deze informatie niet doorspelen. Dat gezegd, ik zou me niks verbazen als Google de details van deze hack via indirecte wegen alsnog in handen krijgen.

Hun goed recht...
Als mijn job / bedrijf zijn bestaan gebaseerd is op fouten te vinden .. en dit bekostigd wordt door klant a,b en c.. dan ga ik dit toch niet geven aan persoon/bedrijf d die er niet voor betaalt.. want dan verlies ik klant a, b en c.. want zij zeggen tja.. waarom zou ik je betalen..? ik wacht gewoon dat je het public maakt/aan persoon/bedrijf d geeft.

Verwijderd @Icekiller2k6 • 10 mei 2011 15:45

En in ander nieuws, Google heeft VUPEN uit de search index verwijderd wegens aanwezigheid van mogelijk schadelijke programma's op de website.

.

Maar het rijst wel de vraag of VUPEN verantwoordelijk is voor degene aan wie ze deze zero-day exploits verkopen. Zitten tussen hun klanten ook botnet eigenaars?

SuperDre

Hackers

@Verwijderd • 10 mei 2011 20:28

Maarja dat is hun goed recht ook weer, er zijn geen wetten die je beperken om deze informatie te verkopen aan wie dat ook..

Probleem alleen is wel dat wanneer dit lek bekend is bij zo'n bedrijf, de kans ook aanwezig is dat hackers/malwaremakers er ook al vanaf weten...

jip_86 @DRaakje • 10 mei 2011 14:38

Vind ik ook. Volgens mij kan je toch wel verwachten dat je op zijn minst even wat details deelt met een fabrikant. Lekker beveiligingsbedrijf ben je dan. Knap gevonden, maar laat Google het dan ook oplossen.

i-chat @jip_86 • 10 mei 2011 15:16

dit soort malafide bedrijfjes, handelen in kennis, en een zeroday exploit is gewoon giga geld waard, voor hackers terroristen en (volgens hun zeggen) geheime diensten, maar ik blijf m'n grote teen af als ze niet stiekem ook wat minder 'bonafide' overheden onder hun klanten hebben..

IStealYourGun @DRaakje • 10 mei 2011 14:55

Beetje vervelend, maar die mensen werken ook niet gratis.
Het vinden van dit soort lekken is hun corebusiness, is dan ook logisch dat ze die info afstaan aan hun betalende klanten. (dus verwachten ze dat Google een klant wordt).

[Reactie gewijzigd door IStealYourGun op 23 juli 2024 03:00]

robvanwijk

Hackers
Beveiliging

@IStealYourGun • 10 mei 2011 18:58

“No, we did not alert Google as we only share our vulnerability research with our Government customers for defensive and offensive security,” Bekar wrote in response to an emailed request for comment. “Unfortunately, we are not aware of any mitigation to protect against these vulnerabilities.”

1) "Offensive security"...? Wat is dat, "terughacken"? Klinkt niet al te legaal...
2) Als je niet weet hoe ertegen te beschermen is, dan is de enige manier om je klanten te beschermen Google inlichten, zodat die het probleem kunnen oplossen.

dus verwachten ze dat Google een klant wordt

Nee

we only share our vulnerability research with our Government customers

Google kan daar geen klant worden (of, in elk geval, niet het soort klant dat deze informatie kan krijgen).

Pepperoni @robvanwijk • 10 mei 2011 23:12

Offensive security houdt zoeits in als het testen van beveiliging door te proberen in te breken. Ook wel penetration testing genoemd. En op zich dus helemaal niet illegaal, als het met toestemming gebeurd of op je eigen systemen. Verder is er ook nog een bedrijf dat trainingen verkoopt met de naam offensive security.

El_ByteMaster @DRaakje • 10 mei 2011 17:35

DRaakje, als ik jou was zou ik eens door de HBGary e-mails gaan lezen; VUPEN is echt niet het enige "bedrijf" dat 0-days verkoopt aan US regeringsinstanties en DoD-contractors (= commerciele bedrijven).

-GSF-JohnDoe @DRaakje • 10 mei 2011 14:13

Ze wachten zeker tot de volgende Pwn2Own wedstrijd

Het is natuurlijk niet netjes dit soort informatie te weerhouden van google.

[Reactie gewijzigd door -GSF-JohnDoe op 23 juli 2024 03:00]

i-chat @-GSF-JohnDoe • 10 mei 2011 15:12

sterker nog ze verkopen het aan overheden - en andere terroristische organisaties ... wat mij betreft mogen ze dit soort mensen dwingen die info vrij te geven ... stel dat je morgen te weten komt dat alquaida morgen een bomaanslag gaat plegen, - lijkt het me een goed plan om de nodige instanties op de hoogte te brenger sterker nog, als je dat niet doet ben je in veel landen (waaronder nederland) gewoon strafbaar.

tuXzero @i-chat • 10 mei 2011 23:27

Ze verkopen gewoon een dienst, niks mis mee als je het mij vraagt. Misschien moet Google ook maar klant bij hun worden. Ik ben in ieder geval tegen het dwingen om informatie vrij te geven, dat is namelijk een hellend vlak.

Lijkt me sterk dat ze ook aan terroristische organisaties verkopen, een land kan namelijk een export verbod opleggen. En ik neem aan dat, net als bij wapen handelaren, ze gewoon zich aan de wet moeten houden.

hi_magrebi @i-chat • 10 mei 2011 17:08

Wat gaan ze doen, google chrome bombarderen?

BeosBeing @i-chat • 13 mei 2011 17:02

sterker nog ze verkopen het aan overheden - en andere terroristische organisaties ...

Leuk dat je die twee in één adem noemt.
In principe proberen beide ook je te dwingen om je aan hun wetten te houden, om te doen wat zij willen dat je doet. De staat wilt dat je werkt en belasting betaalt en geen rotzooi uithaalt, maar je moet nog veel meer doen (paspoort bij je hebben).

En de terroristen willen dat je doet wat je zij willen (leven volgens strenge islam-wetten waarin zij de baas zijn) omdat je bang bent voor de bommen e.d.

cyboria @DRaakje • 10 mei 2011 14:13

Hmm, dat staat toch wel in het artikel?

Vupen heeft geen informatie over de werking van de hack gepubliceerd. Het bedrijf zegt de details over de '0-day vulnerability' wel te delen met zijn klanten, onder andere overheidsinstanties. Google zelf heeft geen informatie van Vupen ontvangen, wat het verifiëren en repareren van het lek bemoeilijkt, blijkt uit navraag door journalist Brian Krebs.

L-VIS @cyboria • 10 mei 2011 14:33

Nee dat staat er niet. Er staat in het origineel dat er niet gedeeld gaat worden met Google. Het artikel van t.net beweert dat er nog niet gedeeld is. Subtiel verschil, maar toch behoorlijk eng

Auteur

Rafe @L-VIS • 10 mei 2011 14:42

Inderdaad een subtiel maar belangrijk verschil, daarom heb ik het artikel even bijgewerkt

zircondan 10 mei 2011 14:59

Bedrijf Jantje B.V. claimt een fout te hebben gevonden in product X van groot bedrijf Y. Echter deelt Jantje B.V. deze informatie niet meer bedrijf Y.

Dan komt bij mij de volgende vragen op:
1) Is er echt wel een lek gevonden?
2) Zo ja waarom deelt men deze fout dan alleen met 'haar' klanten?
3) Schaadt dit het beeld van product Y enorm? Zeker zonder dat Jantje B.V. geen 'bewijs' levert.

Ik zou nu dus ook kunnen gaan claimen dat ik allemaal vulnerabilities heb gevonden in een groot bekend product, dit alleen om het product een slecht imago te geven. Maar zodra het aankomt op het delen van de informatie verzuim ik dit. Erg apparte manier van werken.

Ik vind het zelfs misschien nog wel meer malafide dan bijv. hackers. Het enige verschil is dat Vupen een BTW nummer heeft en hackers niet

Precision @zircondan • 10 mei 2011 15:31

Het staat op youtube, moet voor google kleine moeite zijn om offline te halen moest het echt zo zijn. Er wordt niets getoond in het filmpje. Ik gebruik zelf chrome en lig er niet wakker van, tenzij het mijn comodo aantast krijg ik melding van zo'n exploits, comodo vraagt om toestemming om te mogen starten.
edit:
Ik zou het pas grappig vinden moest google iets terug doen tov Vupen, een ddos die per ongeluk werd gestart moet klein bier zijn voor google. (De zoekbot zat in een oneindige lus

)

[Reactie gewijzigd door Precision op 23 juli 2024 03:00]

SuperDre

Hackers

@Precision • 10 mei 2011 20:31

Tja, en laat dat nou ook allemaal nou ook bij windows zijn, de dingen die nu dus omzeilt worden zijn van die beveiligingen die netjes jouw om toestemming vragen..

Alfredo 10 mei 2011 15:20

In welk opzicht verschilt Vupen van ordinaire hackers die 0-day exploits op de zwarte markt verkopen, of makers van virussen en trojans? Ze zeggen het zelf op hun website:

As the world leader in vulnerability research, VUPEN Security provides weaponized and highly sophisticated exploits specifically designed for Law Enforcement and Intelligence Agencies to help them achieve their offensive missions using tailored and unique codes created in-house by VUPEN for vulnerabilities discovered by our researchers.

Met andere woorden, exploits en virussen worden verkocht aan overheden en wetshandhavende instanties die ze dan gebruiken om God weet wat mee te doen. De gewone burger zou voor zulke praktijken opgepakt worden wegens cyberterrorisme. Maar voor overheden kan dat blijkbaar allemaal. En Vupen heeft er zijn bedrijfsmodel van gemaakt.

!GN!T!ON 10 mei 2011 14:12

Wat raar dat ze de informatie over het lek niet aan google hebben doorgespeeld, ik neem toch aan dat vupen dit lek ook graag dicht ziet?

arjankoole

Beveiliging
Hackers

@!GN!T!ON • 10 mei 2011 14:14

Wat raar dat ze de informatie over het lek niet aan google hebben doorgespeeld, ik neem toch aan dat vupen dit lek ook graag dicht ziet?

Blijkbaar hebben ze andere - commercieele - belangen. Dat maakt dit bedrijf geen haar beter dan bijvoorbeeld 'hackers' die dit voor hun eigen gewin / amusement doen.

TDeK

Beveiliging

@!GN!T!ON • 10 mei 2011 14:26

Volgens mij ziet VUPEN een markt voor hun overheidsklanten, wellicht voor het injecteren van custom malware bij bepaalde high-value targets? Maar zoals hierboven gezegd maakt dit VUPEN net zo fout als hun criminele equivallenten (puur qua response), want het blijft natuurlijk knap dat ze het lek gevonden hebben.

badluckboy 10 mei 2011 14:15

Er is niks kroms aan, ze willen dat Google gaat betalen voor die tip

Rutix @badluckboy • 10 mei 2011 14:24

Doen ze toch al? Voor elke bug die word gemeld word een bedrag betaalt

. Misschien niet zo' n heel groot bedrag voor een bedrijf maar toch vind ik het een beetje stom van een beveiligingsbedrijf om het niet te melden.

Chip. @badluckboy • 10 mei 2011 14:25

Google geeft al geld aan mensen die security bugs melden.

Verwijderd 10 mei 2011 14:13

Tja, wie zegt dan dat het waar is. Iedereen kan zo'n claim wel maken.

mrc4nl @Verwijderd • 10 mei 2011 14:23

het is inderdaat vreemd dat op meerdere PWN2Own events, geen lek is gevonden.
(En op dat soort events, zijn toch wel de mensen die ervaren zijn met het vinden van lekken,)
en dan komt een ander beveiligingsbedrijf die roept dat ze een serieus lek hebben gevonden.

ze geven ook geen details- wat natuurlijk niet verkeerd is, zo kan het ook niet misbruikt worden,miscrosoft bijvoorbeeld geeft lekken pas info over een lek weer als de update ervoor uit is. Maar dan zijn ze wel ingelicht, en dat doet dit bedrijf dus niet, zo houden de data voor zichzelf en kan google dus niets concreets kan ondernemen tegen dit lek.

ScSi @mrc4nl • 10 mei 2011 14:37

Denk dat dat voornamelijk komt door tijdsdruk. Pwn2Own loopt slechts een paar dagen, hier kan de vinder van het lek enkele maanden ermee aan de slag, klein verschil..

Icekiller2k6 @ScSi • 10 mei 2011 15:07

Pwn2own zijn de hacks vaak al op voorhand bekend.. of toch al een richting waarin ze kunnen zoeken.. als je weet dat pwn2own op browsers gedoeld heeft en je voor browser X een exploit hebt.. hou je het ff stil doe je mee en dan maak je ter plekken de code voor exploit uit te voeren.

Verwijderd @mrc4nl • 11 mei 2011 13:50

Volgens mij zie je dit niet helemaal goed: Als Google zelf dit lek had ontdekt, waren ze natuurlijk allang begonnen aan een patch en mogelijk was het hele probleem al verholpen, voor iemand anders het ontdekte.. Als MS zelf een lek vind, natuurlijk patchen ze dat eerst, voordat ze het bekend maken... je gaat jezelf niet in de vingers snijden, toch??

Maar hier is de situatie dat een ander bedrijf iets heeft gevonden... In de OS-wereld is het niet meer dan normaal dat je eerst het lek doorgeeft aan de schrijvers van de applicatie.. Als die er te lang over doen of het gewoon wegwuiven, dan breng je het in the wild, zodat ze alsnog gedwongen worden om er iets aan te doen... Dat is de normale procedure, niet "Ik heb lekker iets gevonden, maar ik ga het niet aan jou vertellen, want jij doet zelf je best maar"... En van een partij "die dit as core-business heeft" mag je zeker wat meer verwachten... En al helemaal vies word het als ze dan ook nog deze info gaan verkopen aan minder valide partijen... Wat had ze gelet om contact met Google op te nemen en eens te gaan onderhandelen bijvoorbeeld??? "Zeg, wij hebben hier zo'n ernstig lek ontdekt, dat is wel wat meer waard dan de standaard bug-vergoeding"... Dan is het aan Google om te bepalen wat deze info ze waard is... En een lek dat door de sandbox breekt, daar wilt Google heel erg snel vanaf, hoor.. Daar willen ze waarschijnlijk best wat geld voor betalen...

Maarten21

@Verwijderd • 10 mei 2011 14:34

Inderdaad, heb je het filmpje gezien? Hij opent calculator gewoon met een shortcut op z'n toetsenbord.

Verwijderd 10 mei 2011 14:35

Kan iemand mij zeggen hoe ik op de video kan zien dat het Google Chrome is die de rekenmachine opstart? Ik heb een toets op mn toetsenbord die de rekenmachine opstart...

Verwijderd @Verwijderd • 10 mei 2011 14:53

Precies, calc.exe zou dan toch onder Chrome moeten staan in Process Explorer? Nu is het een seperaat proces, niet aangeroepen door Chrome?

Mijzelf @Verwijderd • 10 mei 2011 15:50

Dat hangt er natuurlijk vanaf hoe het lek werkt. Wanneer Chrome op een normale manier een child start zo dit zo moeten zijn. Maar wie weet hoe het nu gebeurt?

Op zich is dit wel een aanwijzing dat er geen explorer sneltoets is gebruikt. Dan zou calc namelijk draaien als child van explorer.

BoekaBart @Mijzelf • 11 mei 2011 13:19

Als je goed kijkt DRAAIT calc ook als child van explorer! (je moet ff de procexp met calc (waar chrome overheen hangt) en die eerdere (voor starten exploit) bekijken. Als ik calc via een hotkey opstart, zie ik exact hetzelfde. Dus, niet dat ik wil zeggen dat ze liegen, maar dit is wel heel makkelijk te faken, inderdaad...

aikebah @Verwijderd • 10 mei 2011 22:41

Precies, calc.exe zou dan toch onder Chrome moeten staan in Process Explorer

Natuurlijk niet... de claim was namelijk dat hij met de exploit buiten de Chrome Sandbox wist te komen. Je kunt er op rekenen dat een Calc.exe binnen het Chrome Process nog wel in die Sandbox opgesloten zit.

ShadowBumble 10 mei 2011 14:13

Wacht even je vind een vulnerability in Chrome, en vervolgens kies je ervoor als beveiligings bedrijf om de maker hiervan niet op de hoogte te stellen maar alleen je eigen klanten ?

Maar zonder info voor de maker kan je je eigen klanten ook vertellen dat ze dan maar een alternatieve browser moeten gebruiken ? Goed advies

Lekkere uitstraling voor je beveiligings bedrijf je geeft namelijk de maker ( in dit geval google ) geen mogelijkheid tot het herstellen hiervan.

Beetje kromme redeneering van Vulpen om eerlijk te zijn.

EDIT : Wat DRaakje dus zegt stond nog geen comments toen ik dit schreef.

[Reactie gewijzigd door ShadowBumble op 23 juli 2024 03:00]

TMDevil

@ShadowBumble • 10 mei 2011 14:20

Zie de quote van DRaakje;

“No, we did not alert Google as we only share our vulnerability research with our Government customers for defensive and offensive security,”

Let vooral op het woordje offensive. Zulke info word dus doorgespeeld (verkocht), aan een organisatie (overheid) die deze lekken kan misbruiken.

dikkechill 10 mei 2011 14:14

Dus eigenlijk is dit bericht van Vupen een grote reclamestunt voor hun eigen diensten.

'We lichten google niet in om het gat te dichten, maar je kan wel klant van ons worden om er gebruik van te maken.'

watercoolertje

Google
Google Chrome

@dikkechill • 10 mei 2011 14:19

Of een vies spelletje van de concurrent. Hier een miljoen als je zegt een fout te hebben gevonden. Of moet Google nu eerst klant worden van het bedrijf? Of ze opkopen om er achter te komen?

Kende het bedrijfje al niet, maar zou er dus ook geen zaken mee hoeven te doen.

Silasje 10 mei 2011 14:51

Eerder nieuw van vandaag meld dat Google de Beta versie van Chrome 12 heeft vrijgegeven. Is er al bekend of dit lek ook nog in v12 van de browser zit?

aap @Silasje • 10 mei 2011 15:03

Nee, want niemand weet wat dit lek is (en of er wel een lek is), behalve Vupen en zijn betalende klanten.

Zelfs als Google zelf een lek gevonden heeft en dit gefxit heeft, dan kunnen ze nooit beweren dat dat het lek van Vupen is, omdat ze dat nou eenmaal nooit zeker kunnen weten.

Lekker makkelijke publiciteit van Vupen dus. In de categorie "ik heb een naaktfoto van princes Maxima, maar ik laat hem niemand zien".

ekimpadd @aap • 10 mei 2011 17:49

haha vertrouw me Google is nu hard aan het zoeken of ze een fout kunnen vinden!
denk dat ze niets gaat vinden maar toch

Op dit item kan niet meer gereageerd worden.

Beveiligingsbedrijf vindt kwetsbaarheden in Google Chrome

Lees meer

Reacties (54)

Sorteer op:

Weergave: