Investigadores consiguen sortear la seguridad de Google Chrome

El navegador de Google es un referente en materia de seguridad, sobre todo debido a la sandbox que incorpora. Esta tecnología mantenía el navegador a salvo de varios agujeros de seguridad, de tal forma, que incluso en los prestigiosos eventos Pwn2Own (destinados a comprometer la seguridad de los navegadores más conocidos) Chrome conseguía salir airoso. No obstante, todo llega a su fin y el navegador de la poderosa Google también ha visto su seguridad comprometida por investigadores de la compañía Vupen.

Estos investigadores han conseguido sortear todas las medidas de seguridad del navegador (la citada sandbox) y del propio sistema operativo Windows 7 (ASLR y DEP) para desarrollar un exploit que ejecuta código sin autorización. En el vídeo que mostramos a continuación se muestra como, tan solo visitando una web específicamente preparada se ejecuta la calculadora de Windows sin la interacción del usuario:

Está prueba de concepto demuestra que un atacante con malas intenciones podría preparar una serie de webs maliciosas con este exploit y que, en lugar de la inofensiva calculadora de Windows, ejecutase malware. No obstante, Vupen es una reputada firma de seguridad y, tal y como ellos mismos anuncian, no la harán pública y solo la compartirán con sus clientes gubernamentales (y suponemos que también con Google para que la soluciones lo antes posible).

Pruebas de concepto como esta demuestran que, tarde o temprano, se descubre un agujero de seguridad en cualquier aplicación o sistema operativo. Todo depende de lo bien desarrollado que se encuentre el código fuente y de las precauciones en materia de seguridad que se toman. No debemos olvidar que, muchas veces, las prisas por sacar un producto nuevo, actualización o incluso un parche hacen que no se revisen o implementen todas las medidas de seguridad aconsejadas.

Desde el laboratorio de ESET en Ontinet.com no vemos motivos de alarma para que los usuarios de Chrome dejen de usar este navegador, puesto que la vulnerabilidad no se ha hecho pública, pero sí que aconsejamos extremar las precuaciones a la hora de navegar por Internet o seguir enlaces que encontramos en emails, Twitter o Facebook.

Josep Albors

Zeus, troyano de dominio público