István Kurucsai, investigador de seguridad de Exodus Intelligence, publicó en GitHub un exploit que aprovecha una grave vulnerabilidad de Chrome, concretamente en el motor V8 de JavaScript. Es importante mencionar que Google ya lanzó una solución el pasado 18 de marzo, sin embargo, solo está disponible en las versión del navegador para desarrolladores, Chrome Canary.
Lo anterior significa que las versiones estables de Chrome mantienen la vulnerabilidad, misma que puede ser usada para ejecutar código de manera remota. De esta manera, hackers podrían realizar la instalación de malware en ordenadores sin mayor complicación. ¿Por qué compartió el exploit? Kurucsai quería mostrar las deficiencias que existen en el proceso para solucionar fallos en Chrome.
Y es que a pesar de lanzar soluciones constantemente, los ciberdelincuentes siguen teniendo un espacio de tiempo para realizar ataques. Antes de ofrecer los parches a todo el público, Google primero se asegura de que funcionan adecuadamente en Canary. Por otra parte, no todas las personas están atentas a descargar e instalar las últimas actualizaciones.
Un fallo en Chrome permite a terceros acceder a tus datos
Hay una razón por la que Google está tardando más tiempo de lo normal en brindar una solución a todos los usuarios. El motor V8 es usado en muchas herramientas de código abierto, incluyendo Chromium, que actualmente es el núcleo de varios navegadores como Chrome, Vivaldi, Opera y Brave, por mencionar algunos. Incluso Microsoft está rediseñando Edge con Chromium.
Otra herramienta que se beneficia del motor de JavaScript es Node.js, que actualmente es usado en los servidores de multitud de plataformas en internet. Por los anteriores motivos, los de Mountain View necesitan más tiempo para probar el parche en diferente software. Sin embargo, el obstáculo no los exime de sus obligaciones de proteger cuanto antes a los usuarios.
El investigador afirma que "hay una ventana de oportunidades para los atacantes, que van desde un par de días hasta semanas en las que los detalles de la vulnerabilidad son prácticamente públicos, pero la mayoría de los usuarios son vulnerables y no pueden obtener un parche". Kurucsai publicó un vídeo para demostrar el funcionamiento de su exploit:
