ChulloHack

Si has respondido a las preguntas del titular de manera automática, es decir, con lo que la mentalidad colectiva nos lleva enseñando los últimos años, seguramente has errado en tus conclusiones.

Sin ir más lejos, iPhone es el rey de los agujeros de seguridad en el panorama móvil, muy por encima de Android, BlackBerry o Windows Phone. Tanto, que el pasado año el 85% de todas las vulnerabilidades detectadas le pertenecían.

¿Y si te decimos que Google Chrome también se llevó la palma el año pasado, triplicando en errores relativos a su seguridad a Firefox, segundo de la lista, y que el mejor parado fue Internet Explorer, por encima incluso de Safari o Opera?

Todo es cierto, según el primer Informe de Vulnerabilidades que ha presentado la empresa de seguridad S21sec. Eso sí, no hay que confundir vulnerabilidades o agujeros de seguridad con amenazas o ataques, no es lo mismo.

La vulnerabilidad, que afectaba a la sandbox de Chrome 17.0.963.78 fue desvelada la semana pasada durante el concurso Pwnium que Google lanzó en el CanSecWest.

Google ha parcheado una vulnerabilidad crítica, desvelada la semana pasada durante la conferencia de seguridad CanSecWest, que permite superar la sandbox del navegador. Fue el investigador ruso de Sergey Glazunov quien demostró un exploit de ejecución remota de código contra una versión completamente parcheada de Chrome en Windows 7 como parte el concurso Pwnium de Google celebrado en el marco de la conferencia de seguridad de Vancouver.

El exploit de Glazunov desveló dos vulnerabilidades en Chrome, una que permite la ejecución arbitraria de código y otra que es capaz de superar la sandbox del navegador, que es precisamente la encargada de restringir ese tipo de exploits.

Las vulnerabilidades de ejecución remota de código, aunque son muy serias, son relativamente comunes en todos los productos de software. Sin embargo, no ocurre así con las que superan las sandbox. Glazunov ganó un total de 60.000 dólares con su exploit.

La opción de actualizaciones automáticas de Chrome hace que sólo sea necesario que los usuarios reinicien el navegador para que se haga efectiva la actualización, mientras que en los entornos empresariales, se puede utilizar Google Update.

Glazunov, por cierto, no ha sido el único investigador en crear un exploit que supera la sandbox de Chrome. Un equipo de investigadores de la francesa Vupen presentó ataques similares como parte del concurso Pwn2Own dentro de la CanSecWest. Las reglas de este último concurso no requiere que los investigadores ofrezcan los detalles del ataque a las compañías, normalmente porque el valor del premio no lo justifica, y esto significa quesigue habiendo una vulnerabilidad crítica en Chrome que no ha sido parcheada.

Chrome es el primero en caer en el concurso hacker Pwn2Own.

Google Chrome ha sido el primero en ser hackeado en el concurso hacker Pwn2Own de este año, y es la primera vez que los investigadores consiguen romper la seguridad de Google Chrome en los seis años de concurso.

Lo han conseguido ‘en cinco minutos’ según explican (aunque llevó seis semanas en preparar el ataque) un grupo de investigadores de la empresa de seguridad francesa VUPEN que el año pasado fue el primer equipo en hackear Safari.

“Queríamos mostrar que Chrome no es irrompible. El año pasado, vimos una gran cantidad de titulares de que Chrome no se podía hackear. Queríamos asegurarnos de que era el primero en caer este año”, explican en una noticia, que cuenta todos los detalles del logro.

Pretenden ofrecer lo último en navegación, sin que los usuarios deban preocuparse por ello. Por eso el desafío a los que logren ingresar al navegador del buscador.

Aunque no lo parezca, desde su lanzamiento hace ya más de 3 años, Google Chrome ha cambiado mucho. Seguramente no te hayas dado cuenta, pero Chrome alcanzó la versión 17, 18 y 19 dependiendo del canal de lanzamiento elegido, y sus actualizaciones automáticas pretenden precisamente esto: mantenernos al día y darnos lo último en navegación web sin que siquiera tengamos que preocuparnos por ello.

Google está tan seguro de su trabajo que ha ofrecido 1 millón de dólares a quien pueda hackear el que ya es uno de sus productos estrella.

La recompensa viene ofrecida en un evento anual que muchos conoceréis, el Pwn2Own, una conferencia centrada en el hacking informático en la que los participantes deben explotar aplicaciones específicas, con una sección exclusiva dedicada a navegadores web. En la última edición, en 2011, tanto Firefox como Chrome salieron airosos, sin que ningún contendiente pudiera hackearlos.

Este año las cosas podrían cambiar, aunque Google parece segura de sí misma. Y digo que podrían cambiar porque 2012 está llamado a ser el año en el que Chrome ponga definitivamente contra las cuerdas a Microsoft, superándoles en uso global y cuota de mercado, como ya pasara hace unos meses con Firefox.

El anuncio y la recompensa son muy reales, y de hecho los detalles vienen recogidos en el blog de desarrollo de Google Chrome, The Chromium Blog, donde también dicen que además del millón de dólares, quienes consigan ganar recibirán uno de los nuevos modelos de Chromebook.

Todos los que quieran participar en este pwn2own 2012, ya pueden apuntarse a través de la página de CanSecWest 2012, el evento padre del anteriormente citado, que se celebra en la ciudad de Vancouver los días 7, 8 y 9 de marzo.

Luego de haber recibido una gran cantidad de críticas por sus cambios en la política de privacidad, Google tenía que hacer algo si no quería que los usuarios y las otras compañías desconfíen de sus servicios. Por eso, ahora se sabe que Google agregará en su navegador Chrome un botón que les permitirá a los usuarios tener mayor control sobre su propia privacidad.

El botón que agregará Google en Chrome es el llamado Do Not Track. Este nuevo sistema en Google Chrome les dará la opción a los usuarios de ese navegador para escoger si quieren que su comportamiento en la web sea rastreado por Google, a fin de proveerles anuncios publicitarios de acuerdo con las páginas que frecuentemente visitan.

“Estamos encantados de unirnos a un acuerdo de la industria para respetar la línea Do Not Track de una manera consistente y significativa, que les ofrezca a los usuarios la opción de los controles del navegador claramente explicados”, señaló la vicepresidente senior de Publicidad de Google, Susan Wojcicki.

Ahora, si ustedes se preguntan qué de distinto tendrá la funcionalidad del botón Do Not Track, con respecto a la opción de Window Incognito que ya ofrece Google Chrome, y que los usuarios eligen para que su navegación no deje rastro, la verdad es que no se sabe, porque más detalles sobre el nuevo botón no han sido revelados.

En fin, de todos modos, considero que Google está haciendo bien en decir que agregará un botón en Chrome para no rastrear la navegación de los usuarios. Sobre todo después de haber estado en el ojo de la tormenta, al ser acusado de espiar a los usuarios de Safari y a hasta de irrumpir en los sistemas de seguridad de Internet Explorer.

Recordemos también que esta decisión de Google se da luego de que la administración del presidente de Estados Unidos, Barack Obama, revelara la Consumer Privacy Bill of Rights, o Ley de derechos de la privacidad del consumidor.

Microsoft ha vuelto, un mes más, a lanzar su actualización de seguridad que, en esta ocasión, resuelve 23 vulnerabilidades en Windows, Internet Explorer, .Net Framework y Silverlight.

Dos de las actualizaciones han sido etiquetadas como“críticas”, el nivel más alto de amenaza del ranking de Microsoft, mientras que otras seis han sido clasificadas como“importantes”, siguiente nivel en importancia.

Todas menos ocho de las vulnerabilidades afectan a una o más ediciones de las versiones cliente o servidor de Windows. De los 23 problemas en total, nueve fueron clasificados como críticos, 13 como importantes y uno como “moderado”.

Las dos actualizaciones críticas, MS11-081 para IE y MS11-078 para .Net and Silverlight, son las dos en las que desde Microsoft y otros investigadores animan a aplicar en primer lugar. No sorprende a nadie que IE se encuentre en lo más alto de la lista, pues Microsoft suele revisar su navegador cada mes y la última vez que lo actualizó fue en agosto.

Una de las ocho vulnerabilidades críticas en la actualización de IE simplemente afecta a IE9, que se lanzó el pasado mes de marzo. Microsoft ha solucionado problemas en IE9 antes de ahora, pero es la primera vez que se necesita resolver una falla específica de esa versión.

La vulnerabilidad solo para IE9 se encuentra en la versión de esa edición de una DLL JavaScript utilizada por ese navegador. Como siempre, las vulnerabilidades de IE podrían ser explotadas por hackers con un ataque del tipo “drive-by download” convenciendo a los usuarios para que entren a una página web maliciosa.

Otros investigadores coincidieron al señalar que MS11-081 debería ser instalado inmediatamente. “Siempre que surge una de estas actualizaciones, se deben instalar inmediatamente”, aconseja Jason Miller, del equipo de investigación y desarrollo de VMware.

Otro tema que ha reunido el consenso ha sido la actualización para .Net y Silverlight. Al igual que ocurre con el problema en Explorer, los hackers también pueden explotarlo, de modo que instaría a los usuarios a entrar en una página web maliciosa y lo que es aún peor, la falla podría ser explotada por los hackers que se dirijan no solo a los usuarios de Explorer, sino también a los propietarios de Mac cuyo navegado cuente con el plug-in Silverlight. También puede afectar a los usuarios de Windows que trabajen con ese plug-in en Safari, Chrome o Firefox.

Mozilla ha respondido al nuevo test de seguridad de browsers de Microsoft con críticas implícitas contra Internet Explorer (IE).

Esta semana Microsoft ha lanzado un website que mide la seguridad de los navegadores IE, Chrome de Google y Firefox de Mozilla.
El nuevo sitio web, yourbrowsermatters.org, utiliza la cadena agente de los navegadores para asignarles puntuaciones de entre 0 y 4. IE9, el último navegador de Microsoft, recibe en el test una puntuación de 4 y IE8 de 3, mientras que a las versiones disponibles desde hace un mes de Chrome y Firefox, las pruebas les otorgan un 2,5 y un 2 respectivamente.

Ante estas puntuaciones, Johnathan Nightingale, director de ingeniería de Mozilla para Firefox, ha respondido que la compañía está completamente orgullosa de su larga trayectoria de liderazgo en seguridad. “Creemos que estar seguro en la Web significa tener un navegador robusto, capaz de defender frente a malware y phishing, que incluya nuevas tecnologías para ayudar a la protección de sitios y usuarios, y contar con un equipo responsable que gestione las actualizaciones de seguridad rápida y fiablemente”, subraya Nightingale.

El director de ingeniería de Mozilla ha criticado el test de Microsoft diciendo que “destaca más por las cosas que no incluye” y ha citado tres ejemplos de criterios que debería aplicar y no lo hace: HSTS, funcionalidad de “no seguimiento” y tiempo de respuesta en parches.

HSTS (HTTP Strict Transport Security) es un estándar aún pendiente de aprobación que permite a los servidores de websites “decir” a los navegadores que sólo pueden conectarse utilizando un enlace encriptado, como HTTPS. Firefox y Chrome lo soportan ya, mientras que Internet Explorer no.

La posibilidad de que el usuario pueda elegir que su comportamiento online no pueda ser seguido por websites o anunciantes fue introducida en Firefox en enero. En marzo, Microsoft añadió soporte para el sistema de Mozilla en IE9, añadiéndolo a su propio sistema “antiseguimiento”, anunciado a finales de 2010.

Finalmente, por lo que a rapidez de distribución de parches se refiere, Mozilla lanza actualizaciones de seguridad para Firefox cada seis semanas, mientras que Microsoft parchea los fallos en IE cada dos meses.

Google, ha retocado la versión de Chrome para Mac OS X Lion y ha pagado más de 14.000 dólares en recompensas.

Google ha parcheado 32 vulnerabilidades en Chrome, pagando más de 14.000 dólares en recompensas y actualizando la edición estable del navegador a la versión 14.

La compañía también ha anunciado un par de extensiones orientadas a los desarrolladores y ha destacado novedades en la versión para Mac OS X 10.7, Lion, en la que ahora se incluye un modo a pantalla completa y barras de desplazamiento que se desvanecen.

La última versión estable de Chrome se lanzó a primeros de agosto. Google lanza una actualización cada seis semanas, una práctica que Mozilla ha tenido que adoptar para no quedarse atrás y que empezó a aplicar con Firefox 5 el pasado mes de junio.

Quince de las 32 vulnerabilidades parcheadas han sido calificadas como ‘altas’, el segundo grado más serio del sistema de calificación de Google, diez se consideran ‘medias’ y las siete restantes están calificadas como ‘bajas’.

Ninguno de los fallos se han considerado ‘críticos’, la categoría normalmente reservada para aquellas vulnerabilidades que podrían permitir que un atacante escapara a la ‘sandbox’ antiexploit de Chrome.

Esta actualización de seguridad le ha costado a Google un total de 14.337 dólares en recompensas pagadas a nueve investigadores, incluidos 3.500 dólares a “miaubiz” y 2.337 a Sergey Glazunov, ambos habituales en los listados de investigadores de seguridad de Google.

Además de actualizar la seguridad del navegador, Google ha añadido un par de características a Chrome 14 pensadas para los desarrolladores, como es la incorporación de soporte para  Web Audio API y para “native client”, una tecnología de código abierto que ejecuta software escrito en C y C++ dentro de la caja de arena de seguridad de Chrome.

Chrome 14 ya se puede descargar para Windows, Mac OS X y Linux desde la página de Google. Aquellos usuarios que estén utilizando este navegador, serán actualizados automáticamente.

La firma de seguridad Vupen afirma haber encontrado el modo de hackear Chrome bordeando el modo sandbox incluido en el navegador y evadiendo las tecnologías anti-exploit integradas en Windows 7.

El exploit de día cero encontrado en Chrome y aprovechado para romper la seguridad del navegador de Google “es uno de los códigos más sofisticados que hemos visto y creado, pues evita todas las capacidades de seguridad, incluyendo ASLR/DEP/Sandbox”, explica la firma de seguridad Vupen en un post. “Es silencioso, no se colapsa tras ejecutar la carga, depende de vulnerabilidades de día cero sin revelar y funciona en todos los sistemas Windows”. La compañía francesa ha publicado un vídeo demostración de su exploit en YouTube.

Según Vupen, este exploit puede ser servido desde una web maliciosa. Si un usuario de Chrome navega por dicha página, el exploit ejecuta “varias cargas útiles para finalmente descargar la Calculadora desde una localización remota y lanzarla fuera del sandbox a un nivel de integridad medio”. Vupen ha utilizado la Calculadora de Windows solo como un ejemplo: en un ataque, el archivo “calc.exe” podría reemplazarse por una carga útil modificada por un hacker.

Hasta ahora, Chrome había sido el navegador más difícil de explotar, principalmente porque utiliza una tecnología de sandbox diseñada para aislarlo del resto de la máquina y dificultar así al hacker que ejecute código de ataque en el PC. Con este mecanismo, Chrome ha logrado escapar a los ataques en los últimos tres concursos del Pwn2Own.

El pasado marzo, un equipo de Vupen se llevó 15.000 dólares tras hackear Safari, el navegador de Apple que, como Chrome, está creado con un motor WebKit basado en código abierto. Pero nadie logró entrar en Chrome a pesar de la recompensa de 20.000 dólares que ofrecía al primero que lograra traspasar la zona de seguridad del navegador.

El código de ataque de Vupen también ha logrado sortear el ASLR (Address Space Layout Randomization) y el DEP (Data execution prevention) de Windows 7, dos tecnologías de seguridad destinadas a dificultar el trabajo de los hackers.

Vupen ha dicho que no hará públicos los detalles del exploit en Chrome. “Son compartidos exclusivamente con nuestros clientes gubernamentales como parte de nuestros servicios de investigación de vulnerabilidades”. El pasado año, la empresa francesa cambió sus políticas de revelación de vulnerabilidades al anunciar que no reportaría más brechas a los fabricantes, pero sí a los clientes de pago.

Google no ha comentado por ahora los hallazgos de Vupen.

Mozilla ha resuelto varios problemas de Firefox 4 por primera vez. De hecho, ha solucionado ocho fallos, incluyendo una supervisión de programación completa que dejaba al navegador tan vulnerable a los ataques en Windows 7 como en el viejo Windows XP.

La compañía también ha resuelto 15 problemas en Firefox 3.6, versión para la que sigue ofreciendo soporte y publicó su última actualización de seguridad para Firefox 3, que se lanzó a mediados de 2008.
En total, Mozilla ha solucionado 20 problemas en todas las versiones de Firefox, 17 de ellos clasificados como críticos, que es el nivel más alto en su sistema de clasificación de amenazas.

Firefox 4.0.1, la primera actualización de ese navegador desde su lanzamiento del 22 de marzo, soluciona siete problemas críticos y uno clasificado como bajo. El problema más importante es un lapso de programación que dejaba Firefox 4 abierto a ataques menos sofisticados.

«La librería WebGLES en la versión Windows de Firefox estaba compilada sin protección ASLR», explicaban en el aviso, conocido como MSFA 2011-17. «Un atacante que encontrara un problema en la memoria podría utilizar esas librerías para superar ASLR en Windows Vista y 7, haciendo el fallo tan explotable en esas plataformas como podría serlo en Windows XP o en otras plataformas».

Las librerías gráficas WebGLES soportan WebGL, una extensión de código abierto para JavaScript que permite a los desarrolladores renderizar contenido gráfico 3D interactivo.

WebGL es soportado en Firefox y Chrome, en una versión previa de Opera y lo será emozilla resuelve problemas firefox 4n la próxima versión de Safari.

El Khronos Group, un consorcio cuyos miembros incluyen a Mozilla, Google, Opera y Apple lanzó la especificación final de WebGL 1.0 el mes pasado.

Por otro lado, Mozilla también ha mejorado ediciones anteriores de Firefox, en concreto, las 3.6.17 y 3.5.19, señalando que ésta era la última actualización de seguridad para el navegador más antiguo. Eso sí, la expiración del soporte para Firefox 3.5 afectará a una minoría de usuarios de Mozilla.