Todos los años desde el 2007 se realiza la Pwn2Own evento de cyber seguridad organizado en la CanSec West Applied Security Conference y destinado a los más capacitados expertos en seguridad del mundo que ponen a prueba la -valga la redundancia- seguridad de aplicaciones como los navegadores, esto con suculentas recompensas de cientos de dólares que atraen a los hackers a demostrar sus habilidades.
Este año, Chrome, que se había mantenido estoicamente invulnerable en ediciones pasadas, ha caído por primera vez desde que se realiza esta competencia, ya que finalmente han vulnerado su seguridad potenciada por un sistema Sandboxed.
En efecto Google Chrome ha caído por partida doble tanto en la Pwn2Own y Pwnium (esta última auspiciada por Google) competiciones que son parte del mismo evento.
El encargado de vulnerar la seguridad de Chrome es un viejo conocido de la casa, se trata del ruso Sergey Glazunov, quien ya ha ganado numerosas recompensas por parte de Google por encontrar fallos de seguridad críticos en Chrome.
Ahora Sergey logró vulnerar la seguridad de Chrome y tomar el control de Windows 7 donde estaba instalado explotando sus fallos de seguridad, con esto el ruso se hizo acreedor de un premio de nada menos que $60.000 dólares, del millón que hay en juego en los distintos desafíos.
Decíamos que Chrome había caído por partida doble ya que en el marco de la Pwn2Own la compañía de seguridad Vupen también ha lograr vulnerar la seguridad de Chrome explotando una vulnerabilidad de Flash Player.
Lógicamente si Chrome ha caído, Internet Explorer no podía ser la excepción y aunque Microsoft ha mejorado notablemente su navegador con su última versión (Internet Explorer 9), sabemos que ningún sistema es infalible.
Es así que los mismos que vulneraron la seguridad de Chrome (Vupen), ahora lo han hecho con Internet Explorer aprovechando una vulnerabilidad en los sistemas de protección contra ejecución de código arbitrario DEP (Data Execution Prevention ) y ASLR (Address space layout randomization). También pudieron saltar el sistema de protección de Sandbox para tomar el control de la maquina donde estaba instalado.
Vupen, la compañía que encontró esta vulnerabilidad comento que este fallo afecta a todas las versiones de Internet Explorer desde Internet Explorer 6 a la versión 10 de Windows 8, aunque mencionaron que la versión 10 del navegador de Microsoft ha mejorado bastante su seguridad respecto a las versiones anteriores.