Er zaten maar liefst 11 ernstige lekken in populaire webbrowsers. Tot die conclusie kwam een team van het Georgia Institute of Technology College of Computing uit de VS. Het team heeft de fouten gemeld en de lekken zijn inmiddels gedicht.
Facebook heeft de onderzoekers een speciale prijs toegekend: de Internet Defense Prize. Deze prijs wordt uitgereikt in samenwerking met Usenix.
Onderzoek
Het wetenschappelijke team heeft het onderzoek opgeschreven in een rapport, dat de titel “Type Casting Verification: Stopping an Emerging Attack Vector” draagt. Er is vooral gekeken naar fouten die inherent aanwezig zijn in browsers die zijn geschreven in C++ (zoals Chrome en FireFox). Als een programmeur niet goed omgaat met de datatypes binnen die programmeeromgeving is het mogelijk om de werking van de code van buitenaf te veranderen.
Omweg
Er spelen twee fenomenen, namelijk “bad casting” en “type confusion”, waarmee een hacker eigen functies kan laten uitvoeren. Via bad casting kan het geheugenbeheer in de browseromgeving worden verstoord, waardoor het programma zich anders gaat gedragen dan de bedoeling is.
Tool
Om dergelijke fouten op te sporen is een speciaal hulpmiddel ontwikkeld, dat actief is op het moment dat de browser wordt gestart. Een uitgebreide beschrijving van het werk van de onderzoekers is hier te vinden.
