Menos de 24 horas después de que un hacker ruso del grupo Vupen hiciera caer a Chrome explotando una vulnerabilidad crítica hasta ahora desconocida del navegador, Google presentó un parche para eliminar el problema de seguridad. De paso, el hacker se embolsó USD$60.000 como recompensa.
La rápida reparación le sirve a Google para mostrar una de las ventajas de Chrome: la velocidad con la que se prueban, reparan y actualizan problemas de seguridad complejos, llevando esa solución pronto a los usuarios. Otros navegadores – como ocurre en el caso de Internet Explorer – se actualizan después de múltiples tests de calidad, lo que puede demorar meses para reparar vulnerabilidades..
En Google explicaron que los detalles de la vulnerabilidad se mantendrán en secreto hasta que la mayoría de los usuarios hayan instalado el parche de reparación.
Por ahora se describió el problema como un “UXSS y mala navegación de historial”. Aún si se publica una descripción de la falla más adelante, es probable que algunas de las características sigan siendo secretas.
Chrome está basado en WebKit, de modo que otros navegadores que usan el mismo motor (Safari y muchos navegadores móviles) podrían verse comprometidos también.
El ataque realizado por el hacker Sergey Glazunov fue bastante impresionante, debido a que aprovechó código nativo de Chrome para hacer un agujero en el sandbox de seguridad del navegador (que aísla contenidos de la web de las funciones sensibles del sistema operativo), para depositar su “carga” en el equipo de la víctima. Hasta el momento, los ataques contra Chrome se habían aprovechado de Flash de Adobe, que es más vulnerable.
La empresa francesa Vupen, ha sido la responsable de revelar cuatro exploits en el popular navegador, utilizando como plataforma Windows 7 SP1 a 64 bits.
Según uno de los miembros de esta firma, el primer método utilizado para hackear a Chrome ha sido hacer uso de un mecanismo para esquivar las protecciones DEP y ASLR en Windows, luego procediendo a romper la seguridad en la sandbox.
La firma Vupen es conocida en todo el mundo con una fama bastante polémica, ya que son responsables de vender las vulnerabilidades de programas a gobiernos de diferentes países.
Link: After the pwnage: Critical Google Chrome hole plugged in 24 hour (ArsTechnica)
[Vía]
Puede que esta información te interese ...
Alertan por última versión de Java, que deja una entrada a código malicioso
El lunes a la noche se hizo público que la última versión de Java (un componente usado en muchas páginas Web) tiene una vulnerabili...
Confirman desde Microsoft fallo grave de seguridad en Internet Explorer
Microsoft ha confirmado la existencia de un exploit (código de explotación pública) que aprovecha una vulnerabilidad crítica en los n...
Google premia a un adolescente con U$S 60.000 por descubrir una vulnerabilidad en Chrome
Google se ha unido al creciente número de empresas que ofrecen una recompensa a los piratas informáticos que puedan encontrar deficienci...
Herramienta para reparar tu navegador
Browser Anvi Repair Tool se trata de una más que útil herramienta de sencillo uso y gratuita que nos ayudará a reparar nuestro navega...
Anúnciese aquí »
