En marzo de 2010, Google anunció un programa de recompensas por detección de vulnerabilidades en Chrome y Chromium. Esta oferta permanente ha interesado a numerosos hackers y empresas de seguridad informática, especialmente debido a que Chrome ha demostrado ser impenetrable, especialmente en comparación con los navegadores de la competencia; Internet Explorer, Safari y Firefox, entre otros.
El 10 de mayo, la empresa VUPEN aseguró haber detectado una vulnerabilidad grave en el sandbox de Chrome, que según su descripción podía ser usada para quebrantar todas las funciones de seguridad del navegador. La supuesta vulnerabilidad fue demostrada en un vídeo, pero Google inicialmente no pudo confirmar ni desmentir la información debido a que no recibió los detalles técnicos de VUPEN.
Sin embargo, varios programadores de Google estudiaron el tema por cuenta propia y desestimaron categóricamente que la vulnerabilidad esté radicada en el propio Chrome. Vía Twitter, el programador Tavis Ormandy atribuye el problema a un bug de flash, no sin antes mencionar que Como suele ocurrir, los periodistas de seguridad no se molestan por comprobar los hechos. VUPEN no entendió la forma en que el sandboxing funciona en Chrome.
En tanto, el experto en seguridad Dan Kaminsky -quien no está vinculado ni a Google ni a VUPEN, ha publicado en su blog un post titulado
VUPEN versus Google: Ambos tienen la razón (casi), donde da la razón a Google al señalar que VUPEN no ha logrado penetrar el sandbox básico de Chrome. En lugar de ello, indica, VUPEN ha dado un rodeo a todo el sandbox atacando el sandbox donde Google ejecuta su versión especial de Flash Player. Este último elemento sería mucho menos seguro que el sandbox primario, indica el experto. Kaminsky recuerda que la propia Google señaló durante la reciente conferencia Google I/O, que este elemento se trata de un sandboxing parcial.
Sin embargo, Kaminski difiere del empeño de Google por descalificar a VUPEN, y si esta empresa ha vulnerado o no el navegador Chrome. Kaminsky opina que Google, al distribuir Flash Player junto a Chrome, debe asumir una responsabilidad integral, ya que Flash es equivalente a otras soluciones de terceros, incorporadas al navegador, como por ejemplo WebKit, SQLite y WebM. Es bastante normal responsabilizarse por las bibliotecas importadas, escribe Kaminsky.
Imagen: La traducción literal de sandbox es caja de arena, aunque en este caso se refiere al aislamiento de procesos en el navegador, precisamente con fines de seguridad.
