Chrome ya fue hackeado dos veces en Pwn2Own

Aquí en unocero.com hablamos de Pwn2Own, un concurso en el que Google iba a dar premios hasta por un millón de dólares a quien hacheara su orgulloso navegador. Pues tras cinco minutos de iniciado, un equipo de programadores franceses atacó a Chrome con éxito y poco más tarde lo hizo un estudiante ruso (que se llevó 60 mil dólares por ello). Google pensaba que Chrome era invulnerable, pero fueron demasiado optimistas y orgullosos, ya que al poco tiempo hubo quien les mostrara los puntos débiles del navegador que, según decían, era el más seguro del mundo.

Los franceses de VuPen Security mostraron que Chrome no es irrompible. “Queríamos asegurarnos de que fuese lo primero que fallara este año”, dijeron. El equipo galo trabajó por seis semanas para hallar un hueco y explotarlo. De hecho, se detectaron dos debilidades: la primera era brincarse DEP y ASLR en Windows, y la segunda era salirse de la caja de arena (un término que se usa para confirmar que todo se hace dentro de un ambiente cerrado, inmune a ataques de fuera).

Más tarde, ese mismo día, Chrome volvió a ser hackeado en el concurso realizado en Vancouver, Canadá. Sergey Glazunov, un estudiante universitario ruso, que suele encontrar y reportar problemas en Chrome, halló cómo hackearlo desde una máquina con Windows 7 (64 bits) a través de una ejecución remota de código.

En Google+, Sundar Pichai, de Google Chrome, escribió: “Felicitamos a Sergey Glazunov, que es un constante contribuyente de este navegador. Aparentemente su hack es un hackeo completo de Chrome y califica para los 60 mil dólares de premio. Ya estamos trabajando para eliminar esta vulnerabilidad”.

Justin Schuh, un miembro del equipo de seguridad de Google, dijo que el hueco hallado por Glazunov fue específico de Chrome, y se brincó la caja de arena del sistema admitiendo que podría “haber hecho cualquier cosa” en la máquina infectada. “Fue muy impresionante. Se requiere de un profundo conocimiento del funcionamiento del navegador. Lo que hizo fue muy difícil y es por eso que le vamos a dar el premio”.

Fuente: i-programmer.

En la foto: El equipo de VuPen.

También te puede interesar

Comentarios