Nog niet zo lang geleden integreerde Google de Adobe Flash plug-in in haar populaire webbrowser, Google Chrome. Hierdoor moest de plug-in niet meer apart worden geïnstalleerd en ook het updaten gebeurde automatisch. Vandaag kondigde Google enkele nieuwe maatregelen aan die de gebruiker beter zouden beschermen tegen malware met plug-ins als doelwit.

Drie leden van het Google Chrome security team verklaarden maandag in een post op de Chromium Blog dat er een verandering aan het plaatsvinden is in de aanvalsmethodes van computercriminelen.  Controle bemachtigen door middel van zero-day exploits voor de browser zelf was tot voor kort een veelgebruikte techniek. Maar aangezien de meeste moderne browsers gebruik maken van sandboxing eindigt het hier niet. Sandboxing is een techniek waarbij de browsers in een geïsoleerde omgeving worden uitgevoerd zodat ze geen directe toegang hebben tot of invloed hebben op de rest van het systeem. Wanneer hackers de controle over de browser hebben overgenomen moeten ze nog steeds uit deze sandbox breken om toegang tot het systeem te krijgen.  Hierbij wordt sinds kort meer en meer gefocust op security bugs in plug-ins dan op bugs in de browser zelf. Plug-ins zijn immers alomtegenwoordig en worden vaak nooit of weinig geüpdatet door de gebruiker.

Hierdoor verstrengt Google zijn beveiligingsbeleid wat betreft plug-ins. De Adobe Flash plug-in werd reeds automatisch geüpdatet en er werd ook reeds een interne plug-in die PDF documenten ondersteund aangekondigd. Nieuw is dat verouderde plug-ins zullen geblokkeerd worden en dat de browser gebruikers zal assisteren bij het updaten van deze verouderde plug-ins. Daarboven krijgt de gebruiker een waarschuwing voorgeschoteld wanneer een weinig gebruikte plug-in op het punt staat uitgevoerd te worden.

“Some plug-ins are widely installed but typically not required for today’s Internet experience. For most users, any attempt to instantiate such a plug-in is suspicious and Google Chrome will warn on this condition.”

Tot slot werkt men ook aan een nieuwe plug-in API die het sandboxen van plug-ins makkelijker zal maken voor developers. Google heeft niet expliciet bekendgemaakt hoelang het nog zal duren vooraleer deze nieuwe features beschikbaar zullen zijn, maar sprak over een middellange termijn.

Tot nu toe is Google Chrome met zijn geïntegreerde Flash plug-in de enigste browser die plug-ins automatisch update. Mozilla Firefox is dan weer de enigste browser die de gebruiker waarschuwt voor verouderde plug-ins, maar update ze niet automatisch en blokkeert ze ook niet. Mozilla is van plan om in versie 4 van haar browser een automatische plug-in update feature te voorzien. In tussentijd biedt Mozilla wel een web-based controlesysteem aan.