Hackean a Chrome y alertan por posible falta de protección del navegador

La firma de seguridad que detectó las vulnerabilidades del navegador indicó que no entregará mayores datos de las mismas.
La firma francesa Vupen publicó un video en el que se muestran algunos detalles de las vulnerabilidades de Chrome.

Los usuarios del navegador de Google no van a quedar nada contentos con esta noticia que está dándole la vuelta al mundo. Vupen, una firma de seguridad informática francesa, publicó un informe en el que asegura haber logrado hackear a Chrome para sacar provecho de algunas fallas de “día 0″ de Windows, y también ejecutar código malicioso en el navegador.

Hasta el momento, Google no se ha pronunciado sobre el hecho y, teniendo en cuenta que en años no se había detectado vulnerabilidad alguna en el concurso Pwn2Own, el hecho de que una firma de seguridad (de origen francés) haya logrado saltarse la barrera de la seguridad del popular navegador representa un talón de Aquiles para el gigante de las búsquedas.

En su sitio oficial, Vupen se refirió el exploit como uno de los códigos “más sofisticados que hemos visto y creado hasta al momento, ya que se salta todas las medidas de seguridad, incluyendo ASLR/DEP/Sandbox (y sin explotar una vulnerabilidad de kernel de Windows)”. Según la compañía, “es silencioso (el sistema no se cae después de ejecutar la carga), se apoya en vulnerabilidades de día 0 descubiertas por Vupen, y funciona en todos los sistemas Windows (32 y 64 bits)”.

Pese al que podría denominarse un logro para VUPEN, la compañía explicó que no está interesada (o por lo menos por seguridad) en dar a conocer los detalles técnicos de las vulnerabilidades encontradas y explicó que los únicos que tendrán acceso a la investigación realizada son sus mismos clientes. Además, dijo que desconoce la forma de protección contra un ataque que utilice la vulnerabilidad encontrada.

“Por razones de seguridad, el código de explotación y los detalles técnicos de las vulnerabilidades subyacentes no serán divulgados públicamente. Son exclusivamente para compartir con nuestros clientes”, aclaró la compañía.

En el siguiente video, la firma publicó algunos detalles de cómo logró ‘hackear’ el navegador de Google:

Carlos Alberto Díaz

Carlos Alberto Díaz

En 2002, cuando terminaba mi bachillerato en el Colegio Militar Caldas, todos los caminos conducían a que mi futuro iba a estar en los batallones del Ejército. Sin embargo, reconozco que para estar en un combate en el monte se necesitan más cojones y, si me dan miedo los ratones, no me imagino cómo saldría a correr si se me apareciera uno de esos ‘roedores’ armados que vemos a diario por la televisión.

Años después me dejé llevar por mi pasión por la radio, las nuevas tecnologías y los medios de comunicación, y comencé a estudiar comunicación social y periodismo. En 2008 busqué mis prácticas en un buen medio y llegué a la Casa Editorial El Tiempo, en donde, un poco frustrado por no cubrir temas de tecnología que siempre me han fascinado, fui periodista en el área de Responsabilidad Social Empresarial y publicaba en medios como Portafolio, el diario Hoy, ADN, Citytv, Eltiempo.com y El Tiempo impreso.

A finales de 2009 ingresé a Portafolio.com.co y cubrí temas de economía, responsabilidad social y, por fin, tecnología. De esta última, para hablar y escribir tengo mucho, y espero que mis contenidos escritos y multimedia sean útiles para que aprendan y se informen sobre este apasionante universo.

View all posts

16 comments

    • No todos los caminos conducen a IE mi amigo aparte de los cuestionados quedan safari y opera. Lo invito a probarlos

  • Porque esta compañia no cobra lo que paga google por vulnerabilidad, o les sirve mas el negocio que le paguen los clientes…

    Ya lo que se sabe es que nada es seguro, y cada vez le estan revisando la depuraciona los programas mas comunes como alguna vez lo enfocaron a IE, asi tambien el enconteaban a firefox, y logico como chrome a aumentado la cuota les van a revisar muy duro…

  • Se supone que el sandbox de los browsers no debe permitir ejecutar ni bajar programas sin intervención del usuario,pero no sucede así.

    Chrome baja el ejecutable sin consultar al usuario y luego lo ejecuta como un ejecutable de mayor confianza, lo cual abre las puertas que un atacante pueda poner cualquier programa en internet y luego este SE BAJE Y EJECUTE SOLO sin que el usuario siquiera se de cuenta.

    http://www.facebook.com/arquitecto.software

    • Umm, Google Chrome… Google, Chrome necesita que el usuario no se de cuenta de que ha bajado programas que le permitan a Google investigar y fisgonear la actividad del usuario y así mejorar su todopoderoso buscador…

  • Señor Carlos Díaz, mi campo de conocimientos son los sistemas de información y cuando leo los artículos de Enter me pregunto si uds. las personas que escribe estos artículos realmente conocen algo del tema o si simplemente se dedican a copiar y pegar lo que encuentra por ahí en internet. Esto es un periódico de circulación nacional no es un periódico escolar, por favor sean más profesionales e investiguen para que informen a la gente. Será que alguien que no sea ingeniero de sistemas o experto en el tema le quedó claro cuál es el problema que se encontró en el chrome? Lo único bueno que hace esta revista es hacerle publirreportajes a Apple.

    • si dentro de su campo de conocimiento entendiera que es de circulacion nacional entenderia que el pais no esta lleno de ingenieros de sistemas ni expertos en comunicacion, por eso basta con hacer una contextualizacion, me extraña que ud como ingeniero de sistemas no consulte paginas especializadas para informarse ams a fondo, despues de todo para eso es internet, a mi me quedo claro que ocurrio y pues me basta con que digan

      “más sofisticados que hemos visto y creado hasta al momento, ya que se salta todas las medidas de seguridad, incluyendo ASLR/DEP/Sandbox (y sin explotar una vulnerabilidad de kernel de Windows)”. Según la compañía, “es silencioso (el sistema no se cae después de ejecutar la carga), se apoya en vulnerabilidades de día 0 descubiertas por Vupen, y funciona en todos los sistemas Windows (32 y 64 bits)”.

      y que me den un vinculo que dice: http://www.vupen.com/demos/VUPEN_Pwning_Chrome.php

      asi mismo pues encuentro que

      “Por razones de seguridad, el código de explotación y los detalles técnicos de las vulnerabilidades subyacentes no serán divulgados públicamente. Son exclusivamente para compartir con nuestros clientes”

      por lo que me aprece una buena nota para informar a las personas ya que esto noe s un centro de investigacion ni nada por el estilo

    • Creo que debe prestar más atención al video. Claramente se evidencia que el problema de seguridad radica en que desde un sitio web pueden abrir un ejecutable residente en el pc. Revise bien antes de criticar.

    • gunnersslash precisamente porque que este país no está lleno de ingenieros es que el reportaje debería explicar las cosas lo mas sencillas posibles. Eso es lo que estoy reclamando. Yo SI entendí el problema, se que es el sandbox se cual es la vulnerabilidad del día cero, el kernel, etc. Será que un contador lo sabe? Eso es lo que reclamo que el periodista debe explicar según la audiencia.
      Señor Reynel, muestrele el video a un conocido que no sea experto en computadores, a ver si evidencia claramente cual es el problema.

  • Uyyyy y por qué Enter quitó el post de «Escoge las mejores aplicaciones para teléfonos móviles – ENTER.CO»?????

  • Donde andaran los sectarios del gran Buscador que atacan sin piedad todo lo que de alli no venga?. Nunca he usado chrome pero no voy a salir a criticarlo, a cualquiera le puede pasar, y esperemos el OS, si sale bueno será tan vulnerable como windows.

Archivos