Google ha parcheado una vulnerabilidad crítica, desvelada la semana pasada durante la conferencia de seguridad CanSecWest, que permite superar la sandbox del navegador. Fue el investigador ruso de Sergey Glazunov quien demostró un exploit de ejecución remota de código contra una versión completamente parcheada de Chrome en Windows 7 como parte el concurso Pwnium de Google celebrado en el marco de la conferencia de seguridad de Vancouver.
El exploit de Glazunov desveló dos vulnerabilidades en Chrome, una que permite la ejecución arbitraria de código y otra que es capaz de superar la sandbox del navegador, que es precisamente la encargada de restringir ese tipo de exploits.
Las vulnerabilidades de ejecución remota de código, aunque son muy serias, son relativamente comunes en todos los productos de software. Sin embargo, no ocurre así con las que superan las sandbox. Glazunov ganó un total de 60.000 dólares con su exploit.
La opción de actualizaciones automáticas de Chrome hace que sólo sea necesario que los usuarios reinicien el navegador para que se haga efectiva la actualización, mientras que en los entornos empresariales, se puede utilizar Google Update.
Glazunov, por cierto, no ha sido el único investigador en crear un exploit que supera la sandbox de Chrome. Un equipo de investigadores de la francesa Vupen presentó ataques similares como parte del concurso Pwn2Own dentro de la CanSecWest. Las reglas de este último concurso no requiere que los investigadores ofrezcan los detalles del ataque a las compañías, normalmente porque el valor del premio no lo justifica, y esto significa que sigue habiendo una vulnerabilidad crítica en Chrome que no ha sido parcheada.
No hay comentarios:
Publicar un comentario