Un equipo de expertos en ciberseguridad reveló una prueba de concepto (PoC) para la explotación de una severa vulnerabilidad que reside en Chrome, Edge y otros navegadores basados en el proyecto Chromium, el navegador web de código abierto desarrollado por Google.
Esta PoC fue presentada por Bruno Keith y Niklas Baumstark durante el evento de hacking ético Pwn2Own, y consiste en un exploit de ejecución de código remoto que funciona contra los navegadores basados en el proyecto Chromium y su explotación requiere llevar al usuario objetivo a un sitio web especialmente diseñado. Los investigadores recibieron una recompensa de 100 mil dólares por su reporte.
Después de recibir el reporte Google anunció que comenzaría a trabajar en el lanzamiento de un parche, aunque este no ha sido lanzado. No obstante, un investigador independiente publicó un reporte en el que menciona que Google realizó un cambio casi imperceptible en el motor JavaScript v8 de Chromium para mitigar el riesgo de explotación.
Al parecer el exploit lanzado por los investigadores solo funciona si el entorno sandbox del sistema objetivo está deshabilitado, además de que se requiere encadenar una vulnerabilidad de escape sandbox para el ataque contra un sistema con configuraciones predeterminadas: “También es posible usar este exploit sin un escape de sandbox para lograr un ataque XSS universal, que se puede usar para acceder a cuentas registradas”, explican los investigadores.
Durante su presentación, los expertos aseguraron haber probado el exploit en Chrome y Edge, aunque señalan que es altamente probable que el ataque pueda ser replicado en otros navegadores basados en Chromium, incluyendo Opera y Brave. Mientras tanto, se ignora si la siguiente versión de Chrome, pensada para ser lanzada esta misma semana, incluye mecanismos de mitigación para esta falla.
Finalmente, expertos en ciberseguridad señalan que este podría ser uno de esos casos en los que las fallas en software de código abierto pueden ser explotadas mientras los desarrolladores preparan los parches de seguridad necesarios, por lo que es fundamental que Google lance una actualización de Chromium de inmediato. Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
