Investigadores consiguen sortear la seguridad de Google Chrome
El navegador de Google es un referente en materia de seguridad, sobre todo debido a la sandbox que incorpora. Esta tecnología mantenía el navegador a salvo de varios agujeros de seguridad, de tal forma, que incluso en los prestigiosos eventos Pwn2Own (destinados a comprometer la seguridad de los navegadores más conocidos) Chrome conseguía salir airoso. No obstante, todo llega a su fin y el navegador de la poderosa Google también ha visto su seguridad comprometida por investigadores de la compañía Vupen.
Estos investigadores han conseguido sortear todas las medidas de seguridad del navegador (la citada sandbox) y del propio sistema operativo Windows 7 (ASLR y DEP) para desarrollar un exploit que ejecuta código sin autorización. En el vídeo que mostramos a continuación se muestra como, tan solo visitando una web específicamente preparada se ejecuta la calculadora de Windows sin la interacción del usuario:
Está prueba de concepto demuestra que un atacante con malas intenciones podría preparar una serie de webs maliciosas con este exploit y que, en lugar de la inofensiva calculadora de Windows, ejecutase malware. No obstante, Vupen es una reputada firma de seguridad y, tal y como ellos mismos anuncian, no la harán pública y solo la compartirán con sus clientes gubernamentales (y suponemos que también con Google para que la soluciones lo antes posible).
Pruebas de concepto como esta demuestran que, tarde o temprano, se descubre un agujero de seguridad en cualquier aplicación o sistema operativo. Todo depende de lo bien desarrollado que se encuentre el código fuente y de las precauciones en materia de seguridad que se toman. No debemos olvidar que, muchas veces, las prisas por sacar un producto nuevo, actualización o incluso un parche hacen que no se revisen o implementen todas las medidas de seguridad aconsejadas.
Desde el laboratorio de ESET en Ontinet.com no vemos motivos de alarma para que los usuarios de Chrome dejen de usar este navegador, puesto que la vulnerabilidad no se ha hecho pública, pero sí que aconsejamos extremar las precuaciones a la hora de navegar por Internet o seguir enlaces que encontramos en emails, Twitter o Facebook.
Josep Albors
Related Posts
-
Detectadas variantes españolas del ransomware policial con imágenes de pornografía infantil
-
Vulnerabilidad en Windows publicada por Google utilizada en ataques dirigidos
-
La brecha de seguridad de Yahoo! desvela que seguimos usando passwords débiles
-
Alertan de posibles ataques aprovechando miles de dispositivos IoT comprometidos
Sobre el Autor
Josep
Director de Investigación y Concienciación de ESET España. Apasionado de la tecnología, los videojuegos y trabajando en el mundo de la seguridad informática desde 2005. Siempre dispuesto a aprender y a compartir conocimientos para concienciar a los usuarios y así disfrutar de la tecnología de forma segura.