Esto ha sucedido dentro de las jornadas sobre seguridad en la web realizadas por CanSecWest y en el concurso Pwn20wn que hace unos días os comentábamos se iba a celebrar durante los días 7 al 9 de este mes de marzo. Para esta ocasión el incentivo de 1 millón de dólares en recompensa por romper la seguridad de Chrome parece que ha sido un buen revulsivo para que los participantes se propusieran el conseguir hacerse con el control de Chrome.
El equipo que ha conseguido tal éxito es francés y ya hace algún tiempo presentó a Google una prueba de que su navegador tenía algunos problemas de seguridad. Google en aquel entonces comentó que estos problemas no eran tales y que lo que este grupo de desarrolladores comentaba era consecuencia de la utilización de exploit a través de aplicaciones de terceros como pudiera ser Flash pero no que era una vulnerabilidad del propio navegador. Visto lo visto, parece que en Google estaban bastante equivocados.
Al equipo que ha conseguido colase en Chrome le has costado 6 semanas de trabajo entre encontrar el punto débil y escribir todo lo necesario para utilizarlo creando una web de cebo que únicamente al visitarla se ejecutaba el exploit desde esta y se hacía con el control del ordenador, en este caso utilizaba Windows 7. Ningún click, ninguna descarga, nada, solo entrar en una web.
Aún así, desde el equipo que ha conseguido esta hazaña aseguran que Chrome y su Sandbox es el mecanismo más seguro que existe a día de hoy. Es bueno saberlo pero también es conveniente por parte del equipo de Chrome que no se duerman en los laureles.
Fuente: zdnet.com
0 comentarios:
Publicar un comentario