Google: Vupen się myli, w Chrome nie ma luki
- Antoni Steliński,
- 12.05.2011, godz. 14:47
Przedstawiciele działu bezpieczeństwa Google w ostrym tonie skomentowali doniesienia o tym, jakoby specjaliści z firmy Vupen znaleźli poważną lukę w zabezpieczeniach przeglądarki Chrome. Ich zdaniem dziura znajduje się nie w kodzie przeglądarki, lecz w dołączonym do niej odtwarzaczu Adobe Flash.
Polecamy:
Zobacz też:
Krótko po przedstawieniu tych informacji przez Vupen Google oficjalnie ogłosił, że bada problem - i do tej pory firma nie wydała ostatecznego komunikatu w tej sprawie. Ale o domniemanej luce dużo i chętnie mówią członkowie zespołu odpowiedzialnego za bezpieczeństwo przeglądarki Chrome. "Dziennikarze jak zwykle nie próbują nawet sprawdzić faktów. A ludzie z Vupen najwyraźniej nie rozumieją jak w Chrome działa sanboxing - bo znaleźli tylko lukę we Flashu" - napisał na Twitterze Tavis Ormandy z Google.
Zobacz również:
- Google wzmacnia bezpieczeństwo przeglądarki Chrome
- Luka w zabezpieczeniach WordPress
- Ta technika rozwiązuje problem ograniczonej wielkości okien kontekstowych obsługujących modele językowe LLM
Wtóruje mu Chris Evans, szef zespołu odpowiedzialnego za bezpieczeństwo Chrome: "To faktycznie jest błąd, ale występuje on we wtyczce Adobe, a nie w samym Chrome". A Justin Schuh - inżynier ds. bezpieczeństwa z Google - dodaje: "Nie chcemy sugerować, że nie jest to istotny błąd. Ale faktem jest, iż mamy do czynienia z czymś zupełnie innym, niż twierdzą ludzie z Vupen".
Przedstawiciele koncernu narzekają też, że wbrew przyjętym w branży standardom pracownicy Vupen nie chcą podzielić się z nimi żadnymi informacjami na temat domniemanego błędu. Potwierdza to zresztą szef francuskiej firmy, Chaouki Bekrar, który oświadczył: "Nie zamierzamy im pomagać w znalezieniu tego błędu. Nikt oprócz nas - i naszych klientów - nie wie, jak ominęliśmy sandbox w Google Chrome".
Warto podkreślić, że choć przedstawiciele Google ostro krytykują sposób podania informacji o problemie przez Vupen, to żaden z nich nie próbuje nawet zaprzeczyć, że luka faktycznie istnieje. Ich zdecydowana reakcja jest odpowiedzią na twierdzenie, jakoby specjaliści z Vupen zdołali obejść zastosowany w Chrome sandbox (byłby to pierwszy taki przypadek). Eksperci z Google podkreślają, że treść Flash w Chrome jest uruchamiana w oddzielnym, "flashowym" sandboksie, który nie jest jeszcze tak rozbudowany jak ten podstawowy.
Nie zmienia to jednak faktu, iż problem dla użytkowników Chrome jest istotny - choćby dlatego, że wtyczka Flash jest standardowo dołączana do tej przeglądarki. Do tej pory program Google'a cieszył się opinią jednak z najbezpieczniejszych przeglądarek - Chrome jest jedynym programem tego typu, który nie został złamany podczas dwóch kolejnych edycji słynnego konkursu hakerskiego Pwn2Own.