Google Chrome sufre una vulnerabilidad y es atacada en el evento Pwn2Own

En el concurso mundial de tecnología Pwn2Own, uno de los participantes de la compañía VUPEN pudo hackear al navegador que muchos medios lo consideraban seguro, Google Chrome. El evento que reúne a cualquier concursante dispuesto a atacar, utilizó código fuente de una página web externa para controlar, por primera vez en una participación pública, dicho programa.

Google Chrome.
Sergio Andrés Melo/Wikimedia Commons

9 de marzo de 2012

Según comentaban varios medios, se requirió poco menos de cinco minutos para detectar la vulnerabilidad usando una computadora actualizada con el sistema operativo Windows 7. El ruso Sergei Glazunov, responsable del evento, atacó directamente el programa en dos ocasiones: los sistemas de protección DEP y ASLR usados en el mecanismo y el segundo la sandbox del navegador que con ella se podría aprovechar del plugin Flash de Adobe, que es más vulnerable. Estos permitían, que cualquier otra aplicación pudiera ejecutarse sin el consentimiento del usuario.

La "caja de arena" de Chrome es el más seguro que hay. No es una tarea fácil crear un exploit completo que pase todas las protecciones. Aún así, queríamos mostrar que Chrome no es irrompible. El año pasado vimos una gran cantidad de titulares indicando que Chrome no se podía hackear. Queríamos asegurarnos de que Chrome sería el primero en caer este año.

— Nota publicada en ALT1040.

Después de ello, Google reparó dicho problema mediante un parche de seguridad en menos de 24 horas cuya descripción simplemente era un “daño tipo XSS mediante una mala navegación del historial”. Además desde un principio ofreció, de manera independiente, un millón de dólares a aquel que pudiese hacerse con él. De cualquier manera, Justin Schuh, uno de los encargados del proyecto de seguridad de la gran G, dijo despectivamente a través de su cuenta en Twitter que “Traes a Flash al juego y nadie tiene una oportunidad”, y que “ya saben el tipo de bug que será".

Comentar

Fuentes