Spoločnosť VUPEN tvrdí, že sa jej podarilo prelomiť tzv. sandbox ochranu web prehliadača Chrome. Ten doteraz odoloával aj pokusom na každoročnej akcii Pwn2Own.
Na bezpečnosti internetového prehliadača Chrome si dáva Google špeciálne záležať, už niekoľko rokov ponúka odmeny za jej narušenie. Doteraz sa to nikomu nepodarilo, a to ani na špecializovanej akcii Pwn2Own, kde sa stretajú najlepší odborníci z oboru. Prekvapivo teda znie správa od spoločnosti VUPEN, v ktorej sa tvrdí, že ochrana prehliadača bola prelomená.
Podľa zverejnených informácií sa tento hack opiera o niekoľko tzv. zero-day zraniteľností objavených práve touto spoločnosťou a funguje na všetkých operačných systémoch Windows. Pritom ale nevyužíva žiadne zraniteľnosti samotného kernelu Windows, ale len tie v prehliadači.
Hack obchádza bezpečnostné prvky ASLR/DEP/Sandbox a je "tichý" (neprejavuje sa pádom softvéru). Demonštrácia funkčnosti je prezentovaná na prípade, keď užívateľ navštívi škodlivú web stránku, na ktorej je uložený exploit. Ten následne stiahne aplikáciu kalkulačky a automaticky ju spustí, mimo sandboxu.
Spoločnosť neplánuje svoje zistenia zverejňovať, a zrejme sa nepodelí ani s Google. Všetka ich práca totiž spadá pod vládnu zákazku na výskum zraniteľností.
passco