Conecta con nosotros

Noticias

Google Chrome vulnerado al máximo nivel

Publicado el

new-chrome

Investigadores de la firma de seguridad francesa VUPEN anunciaron ayer haber conseguido vulnerar el sistema de sandboxing (o caja de arena) de Google Chrome 11. No solo eso: han publicado un vídeo de demostración.

new-chrome

«Estamos (in)felices de anunciar que nos hemos apoderado oficialmente de Google Chrome y su sandbox» publica el equipo de VUPEN en el blog corporativo de la compañía. Continúan: «La hazaña que se muestra en este vídeo es uno de los códigos más sofisticados que hemos visto y creado, en la medida en que se salta todas las características de seguridad incluyendo ASLR (Address Space Layout Randomization), DEP (Data Execution Prevention) y sandbox, es silencioso (no hay fallos después de ejecutarlo), se basa en una de las vulnerabilidades descubiertas por VUPEN (Fallo Día Cero) no divulgada y funciona en todos los sistemas Windows (32 y x64 bits)».

El fallo consistiría en engañar al usuario para que visite una página web preparada con el código del exploit, el cual obligaría a la máquina afectada a descargar el programa definitivo (una calculadora) desde una dirección remota y así conseguir comprometer el sistema, pasando por alto el citado sistema de sandboxing del navegador.

A continuación se puede ver el vídeo de demostración:

[youtube:http://www.youtube.com/watch?v=c8cQ0yU89sk 550 330]

«Aunque Chrome tiene uno de las sandbox más seguras y siempre ha sobrevivido a las pruebas Pwn2Own durante los últimos tres años, hemos descubierto una forma segura de ejecutar código arbitrario en cualquier instalación de Chrome a pesar de todas sus protecciones«, concluyen desde VUPEN, quienes solo compartirán la información con sus clientes, como parte de sus servicios de asesoría.

Mientras tanto, desde Google han declarado no tener constancia de estos hechos, que llegado el caso podrían solucionar de forma de forma casi instantánea mediante la actualización automática de Chrome.

Lo más leído