Descubren cómo hackear Chrome aprovechando un exploit 0-day

12/05/2011
Chrome
La firma de seguridad Vupen afirma haber encontrado el modo de hackear Chrome bordeando el modo sandbox incluido en el navegador y evadiendo las tecnologías anti-exploit integradas en Windows 7.

El exploit de día cero encontrado en Chrome y aprovechado para romper la seguridad del navegador de Google “es uno de los códigos más sofisticados que hemos visto y creado, pues evita todas las capacidades de seguridad, incluyendo ASLR/DEP/Sandbox”, explica la firma de seguridad Vupen en un post. “Es silencioso, no se colapsa tras ejecutar la carga, depende de vulnerabilidades de día cero sin revelar y funciona en todos los sistemas Windows”. La compañía francesa ha publicado un vídeo demostración de su exploit en YouTube.
 
Según Vupen, este exploit puede ser servido desde una web maliciosa. Si un usuario de Chrome navega por dicha página, el exploit ejecuta “varias cargas útiles para finalmente descargar la Calculadora desde una localización remota y lanzarla fuera del sandbox a un nivel de integridad medio”. Vupen ha utilizado la Calculadora de Windows solo como un ejemplo: en un ataque, el archivo “calc.exe” podría reemplazarse por una carga útil modificada por un hacker.
 
Leer la noticia completa en CSO

Fuente: CSO-España