Un Grupo de Investigadores de la firma de seguridad francesa VUPEN anunciaron el descubrimiento de nuevas vulnerabilidades en Google Chrome que evaden la caja de arena del navegador (Sandbox), así como ASLR y DEP, además de ejecutar código arbitrario en equipos vulnerables.
La compañía manifestó además que no planea revelar los detalles de las fallas por el momento, pero ya comparten la información con algunos de sus clientes gubernamentales. Las vulnerabilidades están presentes en la última versión de Chrome que se ejecuta en Windows 7.
La compañía también publicó un video que demuestra el ataque y la explotación de las vulnerabilidades, aunque no da pistas de su funcionamiento.
«El video muestra la explotación en acción en Google Chrome v11.0.696.65 dentro de Microsoft Windows 7 SP1 (x64). El usuario es engañado para visitar una página especialmente diseñada que hospeda la explotación que ejecuta diversas cargas hasta finalmente descargar la Calculadora desde un lugar remoto y lanzarla a través de la caja de arena en un nivel de integridad medio.»
Google Chrome en sus versiones recientes incluyen un componente de caja de arena (Sandbox) que es diseñado para prevenir explotaciones contra el navegador que ejecuten código en otras aplicaciones dentro del equipo. Google ha ofrecido recompensas desde hace más de un año a todos los investigadores que encuentren y reporten fallas en Chrome, y en otras aplicaciones, directamente a la compañía. La recompensa más alta, con valor de US$ 3.133,7, es reservada a las fallas más graves, que incluyen aquellas capaces de evadir la caja de arena en Chrome.
Fuente:
http://threatpost.com/es_la/blogs/investigadores-descubren-nueva-falla-que-evade-las-protecciones-de-google-chrome-051011
