Google: Vupen się myli, w Chrome nie ma luki
Przedstawiciele działu bezpieczeństwa Google w ostrym tonie skomentowali doniesienia o tym, jakoby specjaliści z firmy Vupen znaleźli poważną lukę w zabezpieczeniach przeglądarki Chrome. Ich zdaniem dziura znajduje się nie w kodzie przeglądarki, lecz w dołączonym do niej odtwarzaczu Adobe Flash.
Polecamy:
Zobacz też:
Krótko po przedstawieniu tych informacji przez Vupen Google oficjalnie ogłosił, że bada problem - i do tej pory firma nie wydała ostatecznego komunikatu w tej sprawie. Ale o domniemanej luce dużo i chętnie mówią członkowie zespołu odpowiedzialnego za bezpieczeństwo przeglądarki Chrome. "Dziennikarze jak zwykle nie próbują nawet sprawdzić faktów. A ludzie z Vupen najwyraźniej nie rozumieją jak w Chrome działa sanboxing - bo znaleźli tylko lukę we Flashu" - napisał na Twitterze Tavis Ormandy z Google.
Wtóruje mu Chris Evans, szef zespołu odpowiedzialnego za bezpieczeństwo Chrome: "To faktycznie jest błąd, ale występuje on we wtyczce Adobe, a nie w samym Chrome". A Justin Schuh - inżynier ds. bezpieczeństwa z Google - dodaje: "Nie chcemy sugerować, że nie jest to istotny błąd. Ale faktem jest, iż mamy do czynienia z czymś zupełnie innym, niż twierdzą ludzie z Vupen".
Przedstawiciele koncernu narzekają też, że wbrew przyjętym w branży standardom pracownicy Vupen nie chcą podzielić się z nimi żadnymi informacjami na temat domniemanego błędu. Potwierdza to zresztą szef francuskiej firmy, Chaouki Bekrar, który oświadczył: "Nie zamierzamy im pomagać w znalezieniu tego błędu. Nikt oprócz nas - i naszych klientów - nie wie, jak ominęliśmy sandbox w Google Chrome".
Warto podkreślić, że choć przedstawiciele Google ostro krytykują sposób podania informacji o problemie przez Vupen, to żaden z nich nie próbuje nawet zaprzeczyć, że luka faktycznie istnieje. Ich zdecydowana reakcja jest odpowiedzią na twierdzenie, jakoby specjaliści z Vupen zdołali obejść zastosowany w Chrome sandbox (byłby to pierwszy taki przypadek). Eksperci z Google podkreślają, że treść Flash w Chrome jest uruchamiana w oddzielnym, "flashowym" sandboksie, który nie jest jeszcze tak rozbudowany jak ten podstawowy.
Nie zmienia to jednak faktu, iż problem dla użytkowników Chrome jest istotny - choćby dlatego, że wtyczka Flash jest standardowo dołączana do tej przeglądarki. Do tej pory program Google'a cieszył się opinią jednak z najbezpieczniejszych przeglądarek - Chrome jest jedynym programem tego typu, który nie został złamany podczas dwóch kolejnych edycji słynnego konkursu hakerskiego Pwn2Own.
Komentarze (3)
It''s about time soenmoe wrote about this.
Przed flashem zawsze ostrzegali i nic dziwnego.
Nic nowego, ze flash jest dziurawy i mulasty.
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Prawdziwe powody powstania Microsoft Open Technologies
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...