Co ciekawe, błąd ten był praktycznie taki sam jak luka w Safari, którą jeden z uczestników PWN2OWN wykorzystał do skutecznego zaatakowania przeglądarki firmy Apple. Wtedy jednak nikt nie wpadł na to, by sprawdzić, czy na atak podatny jest również Chrome - informacja o luce pojawiła się dopiero teraz, gdy szczegółowe informacje na temat błędu podali przedstawiciele projektu Chromium.

Błąd występował w open-source'owym engine'ie WebKit, który wykorzystywany jest zarówno w Apple Safari, jak i Google Chrome. Google usunął go na początku maja - jednak dopiero przed kilkoma dniami firma ujawniła, że luka jest identyczna jak ta, z której skorzystał (podczas ataku na komputer z Mac OS X i Safari) jeden z uczestników PWN2ONW.

"Poprawka dla luki opisanej w dokumencie CVE-2009-0945 rozwiązuje problem z kodem WebKit - jest to taki sam błąd jak ten, który wykryto niedawno w Safari firmy Apple. Nie chcieliśmy ujawniać tej informacji wcześniej, ponieważ czekaliśmy, aż Apple rozwiąże problem z swoją aplikacją" - mówi Mark Larson program manager Chrome. Przypomnijmy: w ubiegłym tygodniu Apple udostępnił ogromne uaktualnienie dla swojego systemu (zarówno Mac OS X 10.5, jak i 10.4) oraz aplikacji. Pisaliśmy o tym w tekście "Apple łata 67 dziur w Mac OS X".

Atak na Apple przeprowadził podczas marcowego konkursu PWN2OWN niejaki Nils - niemiecki student informatyki (haker nie podał swojego nazwiska - organizatorzy uszanowali tę decyzję). Nils w ciągu zaledwie kilku minut skutecznie zaatakował trzy z czterech biorących udział w konkursie przeglądarek - IE8 (wtedy była to jeszcze niedokończona wersja), Firefoksa i Safari. Niemiecki specjalista nie zdołał jedynie włamać się do Chrome - teraz okazało się, że być może mógł to zrobić, gdyby tylko spróbował wykorzystać ten sam błąd, przez który zaatakował Safari. Za swój wyczyn skasował 15 tys. USD nagrody (po 5 tys. za każdą przeglądarkę).

Z informacji przedstawionych przez Larsona wynika, że problem związany jest z tym, jak WebKit obsługuje obiekty SVGList - do wykorzystania tego błędu do przeprowadzenia skutecznego ataku wystarczy skłonienie użytkownika do odwiedzenia odpowiednio przygotowanej strony WWW.

Warto dodać, że wcale nie jest pewne, czy luka mogłaby posłużyć do przejęcie pełnej kontroli nad systemem operacyjnym - ponieważ Chrome uruchamia osadzony na stronach kod w izolowanym środowisku (tzw. sandbox - podobne zabezpieczenia oferują zainstalowane w Windows Vista i 7 przeglądarki IE7 i IE8).

Informacje o luce pojawiły się w bazie danych projektu Chromium 19 marca - czyli tego samego dnia, w którym Nils dokonał swoich spektakularnych ataków. Załatano ją dopiero na początku maja. Szybsi byli twórcy Firefoksa i Internet Explorera - wersje z usuniętymi lukami pojawiły się w kilkanaście dni po konkursie.