CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

12/05/2011

Descubren cómo hackear Chrome aprovechando un exploit 0-day

Chrome La firma de seguridad Vupen afirma haber encontrado el modo de hackear Chrome bordeando el modo sandbox incluido en el navegador y evadiendo las tecnologías anti-exploit integradas en Windows 7.

El exploit de día cero encontrado en Chrome y aprovechado para romper la seguridad del navegador de Google “es uno de los códigos más sofisticados que hemos visto y creado, pues evita todas las capacidades de seguridad, incluyendo ASLR/DEP/Sandbox”, explica la firma de seguridad Vupen en un post. “Es silencioso, no se colapsa tras ejecutar la carga, depende de vulnerabilidades de día cero sin revelar y funciona en todos los sistemas Windows”. La compañía francesa ha publicado un vídeo demostración de su exploit en YouTube.
 
Según Vupen, este exploit puede ser servido desde una web maliciosa. Si un usuario de Chrome navega por dicha página, el exploit ejecuta “varias cargas útiles para finalmente descargar la Calculadora desde una localización remota y lanzarla fuera del sandbox a un nivel de integridad medio”. Vupen ha utilizado la Calculadora de Windows solo como un ejemplo: en un ataque, el archivo “calc.exe” podría reemplazarse por una carga útil modificada por un hacker.
 
Leer la noticia completa en CSO

Fuente: CSO-España

CSIRT-CV