Vulnerabilidad detectada en Google, no es crítica

Chrome
Chrome, navegador web

Recientemente se ha descubierto una vulnerabilidad en Chorme que en ciertas condiciones permite que un atacante pueda infectar con malware un ordenador infectado con Windows. Así lo indicaron desde la compañía de seguridad Acros Security, la cual indica que dicha vulnerabilidad puede ser explotada de varios formas «DLL load hijacking”, “plantación binaria” y “plantación de archivos”.

El posible ataque se basa en que la mayoría de las aplicaciones no acceden a las DLL con el nombre de ruta completo, sino solo con el nombre del archivo, de esta forma los hackers podrían engañar a la aplicación con un malware que emplee el mismo nombre que el de una de esas DLL. Este fallo se había explotado en otros programas, pero no se pensaba que el Sandbox de Google no fuese capaz de evitarlo, si bien en este caso se requieren algunas condiciones que lo hacen algo menos probable. Y es que para ello es necesario que se esté utilizando un motor de búsqueda distinto al de Google, como por ejemplo los de Yahoo! o Bing! También es requisito que la página anteriormente visitada no sea una página segura (https) y además debe ser engañado para abrir el archivo con el que se iniciaría el ataque.

Todos esos condicionantes, han hecho que Google no se tome esta vulnerabilidad como «crítica» y si bien están buscando la solución, no es actualmente una prioridad, debida la cantidad de condiciones «particulares» que tienen que darse para que se pueda aprovechar de este fallo. Además, hacen la recomendación de emplear páginas que usen el protocolo https para asegurar aún más la utilización del navegador.

 

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.