Cuando Google Chrome se presentó al público general tuvo una gran acogida (además de por el hype que provoca cada producto totalmente nuevo de la mano de Google) por su muy cacareada seguridad. Implementando sandboxes por cada pestaña y plugin teóricamente la seguridad mejora bastante. Y de hecho Google Chrome siempre salió imbatido de cada Pwn2Own en el que ha participado.
No obstante parece que no era para tanto. Un equipo de investigadores ha descubierto la manera de obtener el control de la máquina mediante Google Chrome, y además de una manera totalmente silenciosa. Chrome no falla ni se cierra al hacerlo y el resto del sistema operativo tampoco.
Se aprovecha de un par de vulnerabilidades zero-day que no se han hecho públicas. En el vídeo superior puedes ver una prueba: lo que ocurre es que al acceder el usuario a una Web especialmente manipulada el atacante se podrá saltar varias tecnologías de seguridad (como el sandbox de Chrome o la protección DEP por software) para acabar ejecutando en la máquina un binario descargado del servidor (la calculadora de Windows en ese caso).
La prueba fue inofensiva porque los investigadores sabían lo que estaban haciendo, pero pensad que podría ser cualquier clase de troyano o algo todavía más dañino lo que se descargara y ejecutara en nuestro equipo. La cosa es grave, como vemos. La vulnerabilidad se manifiesta en Windows para 32 y 64 bits y la última versión estable de Chrome.
Como vemos, ningún escudo es suficientemente impenetrable. La ventaja de los escudos de software es que no se fabrican, sino que se desarrollan y pueden mejorar con el tiempo y el trabajo de sus ingenieros. Y a la gente de Google le conviene que su navegador siga teniendo fama de impenetrable.
Vía | Browser Scene
Más información | VUPEN
Ver 56 comentarios
56 comentarios
netoak
Amarillismo al poder, 2 años y medio desde su aparición y se rompe el sandbox ahora y se tienen que leer frases como estas:
No obstante parece que no era para tanto. Un equipo de investigadores ha descubierto la manera de obtener el control de la máquina mediante Google Chrome, y además de una manera totalmente silenciosa. Chrome no falla ni se cierra al hacerlo y el resto del sistema operativo tampoco.
Que sea de forma totalmente silenciosa no quiere decir que sea fácil de hacer o programar, por tanto estaría bien que publicaráis las noticias de forma neutra, especialmente en estos casos.
wolf32
Tarde o temprano iban a encontrar vulnerabilidades. Ahora solo cabe esperar que Google pueda arreglarlas facilmente con simples parches.
José Cabo
Todo software tiene bugs. Incluso el software libre. La cuestión es cuándo van a resolverse desde que son encontrados. Estoy seguro de que Google, lejos de ocultarlo, va a enorgullecerse de que pronto será resuelto el problema.
Un saludo.
josua92
Según Gene Spafford:
El único sistema verdaderamente seguro es aquel que se encuentra apagado, encerrado en una caja fuerte de titanio, enterrado en un bloque de hormigón, rodeado de gas nervioso y vigilado por guardias armados y muy bien pagados. Incluso entonces, yo no apostaría mi vida por ello
chelo703
yo en mi linux no tengo esa calculadora que aparece en el video, entonces no me preocupo, je je je
77199
Con esto queda claro que ningún software es totalmente seguro, la seguridad de cada navegador se basa en la capacidad que tiene la empresa para detectar sus fallos de seguridad y arreglarlas lo mas rapido posible.
Hector Macias Ayala
Yo nunca llegué a creer que fuera tan seguro desde que en el primer pown2down era excluido de las pruebas para luego decir que era el más seguro ya que nadie había siquiera intentado romper con esa seguridad. No me tragué nunca semejante patraña y menos con esta noticia.
Espero que esto les abra los ojos a muchos fanáticos que nada más compran ideas por venir de google.
En sí siempre he dicho que para eso están los FW y AV. Y los buenos hábitos de navegación.
netoak
Realmente que de la nota de prensa de VUPEN http://www.vupen.com/demos/VUPEN_Pwning_Chrome.php hagáis este artículo me da la sensación que no os lo curráis mucho.
Y sobre las dos vulnerabilidades esta empresa no las publica, bien, pero tampoco las comunica a Google, mal. Sólo a sus clientes, los gobiernos... porque será.
En fin.
omarneo.ultimate
Chrome no es seguro??? o_O Dios mio ahora en que podremos creerrr (sarcasmo)
dacotinho
Todo software contiene errores, la ventaja del de codigo abierto es que """cualquiera""" puede encontrar el error y corregirlo. Y esa es tambien su mayor desventaja, porque quien encuentra el error en lugar de corregirlo puede decidir sacar provecho.
Con las soluciones privativas dependes de una empresa que puede tardar mas o menos en reaccionar a la hora de arreglar un bug, pero tambien es cierto que buscarle errores se hace mas dificil puesto que el codigo no esta disponible y hay que hacer pruebas de ensayo/error hasta dar con la vulnerabilidad para poder atacar.
Con todo esto quiero decir que da igual cual tengas, te pueden j*d*r igual.
Irving Montalvo
Google en esta versión de Chrome (11) a iniciado una reducción de código para menorar el tamaño de su aplicación y ya estamos viendo el precio de esos cambios.
84463
Pero que va solo se usaron unas zero-day de windows creo que tanta culpa de Chrome no fue
Pujolet
Solo estamos tan seguros como creemos estarlo. Tu nivel de psicosis determinará el nivel de necesidad de implementar más elementos de seguridad. Mejor no salgas a la calle si piensas cambiarte de navegador solo por una vulnerabilidad.
driverop
Lo se se ve en el video no es suficiente prueba de que han hecho lo que dicen haber hecho (yo también puedo configurar un atajo de teclado para ejecutar la calculadora...).
Habrá que esperar qué dice Google al respecto.
40078
¿y si el tipo hackeo en realidad el process explorer de manera que apareciera la calculadora como un sub-proceso de chrome? :P
Bonsanto
desintalando chrome e instalando firefox
Bonsanto
A mi si me parece grave si puede ejecutar la calcualdora de Windows puede ejecutar cualquier cosa, el cmd y hacer cualquier cosa. Es demasiado peligroso, mejor prevenir que lamentar así que seguire ocn mi firefox, y deinstalare el chrome de mi netbook =D
acerswap
Esto es una prueba mas de la vulnerabilidad del software de codigo abierto.