Vineri, 15 noiembrie, Google a emis un update de securitate critic pentru Chrome, care a remediat mai multe vulnerabilitati critice din renumitul browser web. Vulnerabilitatile au fost gasite în timpul competitiei anuale Mobile Pwn2Own ce a avut loc la Tokyo in perioada 13-14 noiembrie 2013.
Conform PCWorld, se pare ca un hacker white-hat cu nickname-ul Pinkie Pie a gasit vulnerabilitatea in Chrome cu ajutorul smartphone-urilor Samsung Galaxy S4 si Nexus 4. Profitand de aceasta vulnerabilitate, Pinkie a “legat o vulnerabilitate de tip integer overflow cu una de tip sandbox escape.”
Pentru ca atacul sa aibe succes, un utilizator trebuie sa viziteze un site care contine aceasta vulnerabilitate de securitate. Conform raportului PCWorld, odata ce site-ul este deschis în Chrome, “atacul este executat fara nicio alta interventie din partea utilizatorului, si permite executarea de cod arbitrar pe sistemul de operare”.
Hackerul a fost rasplatit cu 50.000 de dolari pentru descoperirea aceste vulnerabilitati, dintre care 40.000 de dolari a fost recompensa concursului Mobile Pwn2Own, iar 10.000 de dolari a fost bonusul primit din partea echipei de securitate Google Chrome, deoarece a reusit sa hackuiasca software-ul de pe un Nexus 4 si un Samsung Galaxy S4.
Aceasta nu este prima data cand Pinkie Pie a spart software-ul Google. In 2012, in cadrul concursului Google Pwnium, acesta a spart de 2 ori Chrome sandbox app. Google a emis update-uri de securitate la cateva ore dupa descoperirea vulnerabilitatii.
Recomandam tuturor clientilor de hosting care folosesc Google Chrome sa-si faca update de urgenta la ultima versiune stabila (31.0.1650.57 pentru Windows, Mac si Linux si 31.0.1650.59 pentru Android).