Google: La vulnerabilidad crítica de Chrome no es una amenaza de seguridad

Se ha descubierto una vulnerabilidad crítica en Chrome que, bajo ciertas circunstancias permite a un atacante plantar malware en un PC basado en Windows. Así lo aseguró una compañía de seguridad hace unos días, pero Google no categorizó el fallo como una vulnerabilidad, sino como un “comportamiento extraño”.

La vulnerabilidad, dicen desde Acros Security, una compañía de seguridad de Solvenia, puede ser explotada con una estrategia de ataque de diferentes modos, como “DLL load hijacking”, “plantación binaria” y “plantación de archivos”, un tipo de ataque que salió a la luz pública en agosto de 2010.

La mayoría de las aplicaciones, explican en Infoworld.com, no acceden a las DLL (Dynamic Link Libraries) utilizando un nombre de ruta completo, sino sólo el nombre de archivo, lo que da a los hackers una manera de engañar a la aplicación con un software malicioso que tenga el mismo nombre que el DLL. La novedad es que se trata de un truco que también afecta a Chrome, un navegador que cuenta con una tecnología sandbox que aísla en navegador del resto del sistema. Sin embargo, se ha descubierto que la sandbox de Chrome no protege de ataques ‘DLL load hijacking’, aunque es más difícil.

Para que la vulnerabilidad sea explotada Chrome tiene que utilizar un motor de búsqueda diferente a Google, que es el que por defecto aparece en el navegador. Acros asegura que se puede lanzar con éxito un ataque contra Chrome si el usuario utiliza Yahoo! o Bing como los buscadores por defecto.

Además, el usuario no tiene que haber visitado una web segura (HTTPS) antes del ataque y debe ser engañado para que abra un archivo cuando el ataque se inicie.

Una serie de condiciones que han llevado a Google a no considerar como vulnerabilidad “crítica” el fallo de Chrome. Por el momento, y mientras Google decide qué hacer, Acros recomienda a los usuarios que utilicen webs seguras.