Google: Vupen się myli, w Chrome nie ma luki

Przedstawiciele działu bezpieczeństwa Google w ostrym tonie skomentowali doniesienia o tym, jakoby specjaliści z firmy Vupen znaleźli poważną lukę w zabezpieczeniach przeglądarki Chrome. Ich zdaniem dziura znajduje się nie w kodzie przeglądarki, lecz w dołączonym do niej odtwarzaczu Adobe Flash.

W poniedziałek Francuzi z Vupen Security ogłosili, że udało im się znaleźć w Chrome poważny błąd, który umożliwia nieautoryzowane uruchomienie złośliwego kodu - firma opublikowała nawet film demonstrujący działanie stworzonego przez nich exploita. Co więcej - opracowana przez Vupen metoda ataku obchodziła podstawowe zabezpieczenie Chrome przed złośliwym kodem, czyli sandbox.

Krótko po przedstawieniu tych informacji przez Vupen Google oficjalnie ogłosił, że bada problem - i do tej pory firma nie wydała ostatecznego komunikatu w tej sprawie. Ale o domniemanej luce dużo i chętnie mówią członkowie zespołu odpowiedzialnego za bezpieczeństwo przeglądarki Chrome. "Dziennikarze jak zwykle nie próbują nawet sprawdzić faktów. A ludzie z Vupen najwyraźniej nie rozumieją jak w Chrome działa sanboxing - bo znaleźli tylko lukę we Flashu" - napisał na Twitterze Tavis Ormandy z Google.

Zobacz również:

  • Speedometer 3 - nowe narzędzie do testów przeglądarek
  • Błąd w AppGallery pozwala pobierać płatne aplikacje za darmo
  • Google pracuje nad własnym lokalizatorem przedmiotów

Wtóruje mu Chris Evans, szef zespołu odpowiedzialnego za bezpieczeństwo Chrome: "To faktycznie jest błąd, ale występuje on we wtyczce Adobe, a nie w samym Chrome". A Justin Schuh - inżynier ds. bezpieczeństwa z Google - dodaje: "Nie chcemy sugerować, że nie jest to istotny błąd. Ale faktem jest, iż mamy do czynienia z czymś zupełnie innym, niż twierdzą ludzie z Vupen".

Przedstawiciele koncernu narzekają też, że wbrew przyjętym w branży standardom pracownicy Vupen nie chcą podzielić się z nimi żadnymi informacjami na temat domniemanego błędu. Potwierdza to zresztą szef francuskiej firmy, Chaouki Bekrar, który oświadczył: "Nie zamierzamy im pomagać w znalezieniu tego błędu. Nikt oprócz nas - i naszych klientów - nie wie, jak ominęliśmy sandbox w Google Chrome".

Warto podkreślić, że choć przedstawiciele Google ostro krytykują sposób podania informacji o problemie przez Vupen, to żaden z nich nie próbuje nawet zaprzeczyć, że luka faktycznie istnieje. Ich zdecydowana reakcja jest odpowiedzią na twierdzenie, jakoby specjaliści z Vupen zdołali obejść zastosowany w Chrome sandbox (byłby to pierwszy taki przypadek). Eksperci z Google podkreślają, że treść Flash w Chrome jest uruchamiana w oddzielnym, "flashowym" sandboksie, który nie jest jeszcze tak rozbudowany jak ten podstawowy.

Nie zmienia to jednak faktu, iż problem dla użytkowników Chrome jest istotny - choćby dlatego, że wtyczka Flash jest standardowo dołączana do tej przeglądarki. Do tej pory program Google'a cieszył się opinią jednak z najbezpieczniejszych przeglądarek - Chrome jest jedynym programem tego typu, który nie został złamany podczas dwóch kolejnych edycji słynnego konkursu hakerskiego Pwn2Own.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200