Het Franse beveiligingsbedrijf Vupen heeft kwetsbaarheden in Google Chrome gevonden waarmee een aanvaller code kan uitvoeren op een computer. De browser kwam in de afgelopen 3 jaar ongeschonden door de Pwn2Own-hackingcompetities.
Vupen heeft kwetsbaarheden in de jongste versie van Google Chrome 11 ontdekt, waarmee een aanvaller door middel van een speciaal ontwikkelde website code kan laten downloaden en uitvoeren buiten de ingebouwde sandbox. De hack werkt op zowel 32- als 64bit-versies van Windows 7 SP1 en omzeilt ook de aslr- en dep-beschermingen die Microsoft in het besturingssysteem heeft gebouwd.
Vupen heeft geen informatie over de werking van de hack gepubliceerd. Het bedrijf zegt de details over de '0-day vulnerability' wel te delen met zijn klanten, onder andere overheidsinstanties, maar heeft geen plannen om Google zelf in te lichten. De zoekmachinegigant bevestigt dat het geen informatie van Vupen heeft ontvangen, wat het verifiëren en repareren van het lek bemoeilijkt, blijkt uit navraag door journalist Brian Krebs.
Eerder vond Chaouki Bekrar, oprichter van het Franse beveiligingsbedrijf, op het Pwn2Own 2011-evenement een lek in de Mac OS X-browser Safari, waarmee ook code kon worden uitgevoerd. Google Chrome kwam in de afgelopen drie jaar ongeschonden door de hackingcompetitie, ondanks de beschikbaar gestelde prijs van 20.000 dollar voor de persoon die de browser op de eerste dag zou weten te kraken.