Advierten de un ataque dia cero en Google Chrome

Publicado el 11 mayo 2011 por Barracuda Comespam @comespam

El ataque pasa por alto incluso el sistema de proteccion DEP, del famoso navegador. Un equipo de investigadores de seguridad afirma haber descubierto una vulnerabilidad que facilita el acceso a sandbox en Google Chrome y permitiria a los atacantes ejecutar código arbitrario.

La función sandbox fue introducida Google Chrome para proteger a los usuarios, funciona mediante la ejecución de código del sitio web en una zona, fuera del area de la memoria, a la que, teoricamente, no es posible acceder.

Se trata de un truco de desarrollo adoptado por algunos otros fabricantes de software, el mas reciente fue Adobe Reader’s X,conocido precisamente, no por ser el mas seguro.

La implementacion de sandbox en Google Chrome ha sobrevivido, hasta la fecha, a la atención de los hackers, pero ahora parece ser que la protección ha sido craqueada.

El equipo de investigadores que ha descubierto la vulnerabilidad explica que se trata de uno de los codigos mas sofisticados que se han visto por ahora, capaz de resistir todas las caracteristicas de seguridad, incluso el DEP, diseñado para detener exploits que ejecuten codigo arbitrario en areas de memoria marcada para el almacenamiento de los datos.

Con la vulnerabilidad, se ha descubierto una forma de ejecutar codigo arbitrario en cualquier parte de Chrome, a pesar de la implementacion de sandbox, ASLR y DEP. El codigo del exploit asi como los detalles tecnicos de la investigacion y los resultados, no se hara publico, por ahora. La empresa que ha descubierto la vulnerabilidad, asi lo ha comentado.

Google todavía no ha dado respuesta oficial, pero si la investigacion demuestra la informacion, Google Chrome tiene una extrema necesidad de revisar su seguridad, por el bien de los usuarios.