Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
10/05/2011
Vulnerabilitat de dia zero en Google Chrome
Investigadors de l'empresa Vupen han aconseguit executar codi en el sistema operatiu, a través d'una vulnerabilitat del navegador, sobrepassant totes les mesures de protecció de què disposa.Els investigadors de l'empresa VUPEN Security han aconseguit sobrepassar totes les mesures de seguretat implantades, tant pel navegador com pels sistemes operatius Windows, per a executar codi en el sistema operatiu.
Google Chrome s'ha mostrat sempre com el navegador més segur, ja que ha guanyat durant tres anys consecutius la competició Pwn2Own en què investigadors i hackers es reuneixen per a trobar vulnerabilitats en navegadors web i dispositius mòbils, principalment, al no trobar-se cap mode de sobrepassar les seues mesures de seguretat.
Les mesures que utilitza per a garantir la seguretat són variades. D'una banda, utilitza una caixa d'arena (Sandbox), completament controlada per l'aplicació, i que li permet bloquejar l'execució de (quasi) qualsevol codi maliciós. A més, se serveix de diverses tecnologies disponibles en els sistemes operatius Windows més recents, com ara ASLR i DEP.
Totes aquestes proteccions han acabat per resultar insuficients, ja que finalment s'ha trobat una forma fiable d'executar codi en sistemes operatius Windows, tant de 32 com de 64 bits. Els detalls tècnics de la vulnerabilitat no es van a fer públics (només s'han lliurat a clients governamentals de VUPEN), però s' ha publicat un vídeo que mostra l'execució de l'exploit.
Sistemes Afectats:Google Chrome v11.0.696.65
Referències:None
Solució:Google encara no ha publicat informació sobre aquesta vulnerabilitat.
Notes:http://www.vupen.com/demos/VUPEN_Pwning_Chrome.php
http://www.youtube.com/watch?v=c8cQ0yU89sk