Chrome ha aguantado años sin que nadie le haya encontrado vulnerabilidades en Pwn2Own. Ahora, una empresa francesa de seguridad llamada VUPEN dice haber logrado encontrar una forma de vulnerarlo. El hackeo implica aprovechar fallas de “día 0” de Windows, y podría permitir ejecutar código malicioso en el navegador.
PUBLICIDAD
La empresa señala que “el exploit es uno de los códigos más sofisticados que hemos visto y creado hasta al momento, ya que se salta todas las medidas de seguridad, incluyendo ASLR/DEP/Sandbox (y sin explotar una vulnerabilidad de kernel de Windows), es silencioso (el sistema no se cae después de ejecutar la carga), se apoya en vulnerabilidades de día 0 descubiertas por VUPEN y funciona en todos los sistemas Windows (32 y 64 bit)”.
Lo curioso del caso es que pese a que Google ofrece un buen botín a quien entregue información sobre bugs en Chrome, la empresa indicó que no entregarán los datos. En su lugar, la información será compartida sólo con “clientes de gobierno para seguridad ofensiva y defensiva”.
La empresa también dijo que no conocen ninguna forma de protegerse contra un ataque que use esta vulnerabilidad. Habrá que ver cómo reacciona Google al respecto, pero la información parece bastante sospechosa. Abajo, dejamos un video en el que un empleado de VUPEN corre la calculadora de Windows de forma remota usando el hack de Chrome.
Link: Security firm hacks Chrome, refuses to share information (Geekosystem)