Beveiligingslek in pdf-lezer Chrome "per ongeluk" verholpen

[Captain Kirk]

Een beveiligingslek in de pdf-lezer van Google Chrome is eind juni "per ongeluk" verholpen, zo meldt onderzoeker Zhou Aiting van het Qihoo 360 Vulcan Team. Aiting had op 17 april een kwetsbaarheid in de pdf-lezer van Chrome gevonden waardoor een aanvaller willekeurige code had kunnen uitvoeren.

De kwetsbaarheid alleen was niet voldoende om uit de sandbox van Chrome te beveiligen, waardoor een aanvaller in het ergste geval data van andere websites had kunnen stelen of aanpassen. Twee dagen nadat Google door de onderzoeker was ingelicht werd er een patch voor het probleem ontwikkeld. Deze patch werd op 10 mei onder Chrome-gebruikers uitgerold. Voor zijn bugmelding ontving Aiting 5.000 dollar.

De onderzoeker ontdekte dat de patch niet volledig was en het nog steeds mogelijk bleek om het beveiligingslek aan te vallen. Eind juni kwam er echter een onverwachte oplossing voor het probleem. Google besloot namelijk het datatype waardoor de aanval mogelijk was in de pdf-lezer te verwijderen en door het gebruik van een vector te vervangen. Daardoor werd ook de kwetsbaarheid "per ongeluk" verholpen, aldus Aiting.

 

 

bron: security.nl