Хакерский конкурс Pwn2Own 2012, который проводится в рамках конференции по компьютерной безопасности в Ванкувере, в первый же день продемонстрировал, что стабильная версия браузера от Google все же не так защищена, как надеялась на это компания. Стоит отметить, что Chrome являлся единственным обозревателем, который никому не удавалось взломать на протяжении нескольких лет. Французская команда хакеров Vupen, занимающаяся поиском уязвимостей и эксплойтов для государственных заказчиков, была нацелена на взлом Chrome в этом году. Интерес специалистов подогрела и недавняя акция, в рамках которой Google пообещала денежное вознаграждение тем, кто сможет взломать их новую версию браузера. «Ни одно программное обеспечение нельзя назвать нерушимым, если хакеры имеют достаточно мотивации, чтобы подготовить и начать атаку» – сообщили участники соревнований.
{youtube}c8cQ0yU89sk{/youtube}
На подготовку к взлому обозревателя хакерам понадобилось несколько недель. «Нам пришлось обойти ограничения «песочницы» браузера. Для этого мы обошли DEP и ASLR в Windows, после чего и загрузили вредоносный код. Мы хотели показать, что Chrome не является настолько защищенным браузером, как о нем говорят. В прошлом году мы неоднократно читали новости о том, что Chrome никто не смог взломать. Мы хотели показать всем, что это не так» – рассказали в интервью Vupen.
Хакеры сообщили, что имеют еще один вариант взлома Chrome 17, однако обнародовать его не будут. «Мы прибережем его в тайне. Сохраним для наших клиентов» – усмехнулись взломщики. Несмотря на то, что защита обозревателя была разрушена, Vupen очень лестно отозвались о той работе, которую проделала команда безопасности Google при создании стабильной версии Chrome 17. Спустя несколько часов после того, как французы обошли систему безопасности интернет-обозревателя, российский студент Сергей Глазунов повторил их подвиг, использовав ошибки в Chrome 17 для того, чтобы получить к нему полный доступ. Сергей стал первым хакером, который получил за свою деятельность обещанный приз от Google в размере $60000. Немного позже французы также были поощрены денежным вознаграждением и дополнительными очками на соревновании за скорость взлома.
На момент написания новости Google закончила работу по исправлению обнаруженных уязвимостей в браузере Chrome 17.