法国安全公司利用了谷歌浏览器的漏洞，绕过其沙箱安全功能，ASLR和DEP能力。

　　谷歌浏览器Chrome的沙箱安全技术，旨在阻止恶意代码渗入系统进程，已被VUPEN安全公司的研究人员的绕开（compromised by researchers at VUPEN Security）。

　　在周一发布的一份公告中，该公司称其研究团队发现了谷歌浏览器中的一个零日漏洞。该漏洞让研究团队绕过了Chrome所有的安全功能，包括地址空间布局随机化（ASLR），数据执行保护（DEP），这两种技术是为了阻止入侵者获取对正在运行的进程的访问。

　　“虽然Chrome浏览器拥有最安全的沙箱之一，并在过去三年的Pwn2Own比赛中都幸存了下来，但是我们现在发现了一种可以在任何默认Chrome安装程序上，执行任意代码的可靠方法，尽管Chrome有沙箱，ASLR和DEP，”VUPEN公司在公告中说道。

　　绕开安全防御技术的工作在Windows系统上完成，同时依靠零日漏洞。VUPEN公司表示，该攻击可以再不利用Windows内核漏洞的情况下就可以成功。

　　VUPEN公司表示不会公开披露开发代码或漏洞底层的技术细节。该公司发布一个相应的视频作为证据，证明了浏览器的漏洞被利用。

　　一位谷歌的发言人对KrebsOnSecurity的Brian Krebs说，谷歌的工程团队无法核实VUPEN的说法，因为VUPEN没有分享任何与他们的发现有关的信息。如果该漏洞被证实，谷歌会发布一个针对浏览器的自动更新。

　　在过去TippingPoint Pwn2Own 比赛中，ASLR和DEP的漏洞就已显现。使用这些技术的微软表示，一次成功的攻击需要极为复杂的措施，其中包括多个零日漏洞。

　　沙箱技术，一直被认为是针对常见攻击者目标应用的防御添加层。Adobe系统公司开发的Adobe Reader X也使用了沙箱技术来阻止攻击。一位攻击者绕过了Adobe Flash Player中一个类似的沙箱功能。谷歌承认，沙箱是不是万能的方法，但一个附加的安全层，可以阻止许多攻击。