Un investigador de seguridad de la firma Exodus Intelligence ha publicado el código de prueba de concepto para un exploit en el navegador Google Chrome que no ha recibido parches de seguridad para su versión estable 73. El fallo radica en el motor V8 de JavaScript del software, y podría permitir a un hacker ejecutar código de manera remota en el sistema de los usuarios.
El investigador, llamado István Kurucsai, publicó el código de prueba de concepto en la plataforma GitHub, acompañado de un video de demostración. Kurucsai explicó que el motivo de la publicación del código responde a la necesidad de destacar la brecha que existe en el proceso de parcheo del gigante tecnológico, que deja un intervalo de tiempo suficiente para que los hackers desplieguen ataques en el navegador.
Kurucsai dijo además que esta brecha nace en la cadena de suministro de Tecnología de Información (TI) de Google, donde se importa y se prueba el código de diversos proyectos de código abierto. En este sentido, los expertos de Google solucionaron un fallo de seguridad del motor V8 el pasado 18 de marzo, que a pesar de hacerse público en el registro de cambios, no llegó a la versión estable del navegador. En su informe, Kurucsai continúo afirmando:
Como resultado de su modelo de desarrollo de código abierto, mientras que los arreglos de seguridad son visibles inmediatamente en el árbol de origen, necesitan tiempo para ser probados en los canales de lanzamiento no estables de Chrome antes de que puedan ser eliminados a través del mecanismo de actualización automática como parte de un lanzamiento estable para la mayoría de la base de usuarios.
En todo caso, el exploit revelado por el investigador es inofensivo, ya que no cuenta con una vulnerabilidad de escape en la sandbox para ser una cadena completa de exploit y ofrecer la posibilidad de ejecutar código en el sistema operativo del usuario. Sin embargo, los hackers pueden explotar fallas anteriores de Chrome Sandbox junto al error revelado por Kurucsai para lanzar ataques contra los usuarios de navegadores sin parches de seguridad.
