Google: Vupen się myli, w Chrome nie ma luki

W poniedziałek Francuzi z Vupen Security ogłosili, że udało im się znaleźć w Chrome poważny błąd, który umożliwia nieautoryzowane uruchomienie złośliwego kodu - firma opublikowała nawet film demonstrujący działanie stworzonego przez nich exploita. Co więcej - opracowana przez Vupen metoda ataku obchodziła podstawowe zabezpieczenie Chrome przed złośliwym kodem, czyli sandbox.

Krótko po przedstawieniu tych informacji przez Vupen Google oficjalnie ogłosił, że bada problem - i do tej pory firma nie wydała ostatecznego komunikatu w tej sprawie. Ale o domniemanej luce dużo i chętnie mówią członkowie zespołu odpowiedzialnego za bezpieczeństwo przeglądarki Chrome. "Dziennikarze jak zwykle nie próbują nawet sprawdzić faktów. A ludzie z Vupen najwyraźniej nie rozumieją jak w Chrome działa sanboxing - bo znaleźli tylko lukę we Flashu" - napisał na Twitterze Tavis Ormandy z Google.

Zobacz również:

• Przeglądarka Chrome będzie jeszcze jakiś czas akceptować pliki cookie
• Luka w zabezpieczeniach WordPress
• Sztuczna inteligencja wkroczyła do aplikacji Speaking Practice

Wtóruje mu Chris Evans, szef zespołu odpowiedzialnego za bezpieczeństwo Chrome: "To faktycznie jest błąd, ale występuje on we wtyczce Adobe, a nie w samym Chrome". A Justin Schuh - inżynier ds. bezpieczeństwa z Google - dodaje: "Nie chcemy sugerować, że nie jest to istotny błąd. Ale faktem jest, iż mamy do czynienia z czymś zupełnie innym, niż twierdzą ludzie z Vupen".

Przedstawiciele koncernu narzekają też, że wbrew przyjętym w branży standardom pracownicy Vupen nie chcą podzielić się z nimi żadnymi informacjami na temat domniemanego błędu. Potwierdza to zresztą szef francuskiej firmy, Chaouki Bekrar, który oświadczył: "Nie zamierzamy im pomagać w znalezieniu tego błędu. Nikt oprócz nas - i naszych klientów - nie wie, jak ominęliśmy sandbox w Google Chrome".

Warto podkreślić, że choć przedstawiciele Google ostro krytykują sposób podania informacji o problemie przez Vupen, to żaden z nich nie próbuje nawet zaprzeczyć, że luka faktycznie istnieje. Ich zdecydowana reakcja jest odpowiedzią na twierdzenie, jakoby specjaliści z Vupen zdołali obejść zastosowany w Chrome sandbox (byłby to pierwszy taki przypadek). Eksperci z Google podkreślają, że treść Flash w Chrome jest uruchamiana w oddzielnym, "flashowym" sandboksie, który nie jest jeszcze tak rozbudowany jak ten podstawowy.

Nie zmienia to jednak faktu, iż problem dla użytkowników Chrome jest istotny - choćby dlatego, że wtyczka Flash jest standardowo dołączana do tej przeglądarki. Do tej pory program Google'a cieszył się opinią jednak z najbezpieczniejszych przeglądarek - Chrome jest jedynym programem tego typu, który nie został złamany podczas dwóch kolejnych edycji słynnego konkursu hakerskiego Pwn2Own.