Hace poco se publicaron los resultados del Pwn2Own, concurso realizado anualmente durante la conferencia de seguridad informática CanSecWesten, en la cual algunos de los mas reconocidos expertos en seguridad se disputan grandes premios explotando problemas en los sistemas operativos, navegadores y dispositivos móviles mas populares.

En esta edición del concurso el navegador Google Chrome, destacó sobre los demás, por ser el único navegador que permaneció en pie frente a los ataques realizados por varios de los mejores expertos de seguridad informática del mundo, quienes no pudieron contra la “caja de arena” puesta por Google en su navegador estrella.

Pero esto podría cambiar en poco tiempo….

¿Porqué Google Chrome podría perder su titulo como navegador mas seguro?

Google acaba de publicar en su blog oficial y el de chromium, que integrará de forma nativa, soporte para el plugin de Adobe Flash Player y Adobe Acrobat Reader (catalogado como la aplicacion mas insegura del 2009), 2 de los productos de Adobe con mas vulnerabilidades criticas encontradas y causantes de un gran numero de las infecciones por malware en equipos con Microsoft Windows.

¿Que opinan los expertos?

Charlie Miller, famoso por ser la primera persona en hackear un iPhone y sus triunfos consecutivos en el concurso Pown2Own afirma que Google Chrome o Internet Explorer 8 sobre Windows 7 es la combinación mas segura para navegar en internet, siempre y cuando no tengan Flash instalado.

Steve Jobs, dejando a un lado los intereses que tiene Jobs para no incorporar flash en sus dispositivos (todos sabemos que no lo hace por que muchos desarrolladores podrían crear aplicaciones sin pasar por su AppStore), el fundador de Apple ha reiterado en varias ocasiones que Flash no sólo consume gran parte de las recursos de la CPU y es una fuente de agujeros de seguridad, sino también se trata de una tecnología en proceso de obsolescencia.

Forbes, esta prestigiosa revista estadounidense, catalogó a Adobe Acrobat Reader y Adobe Flash Player como las aplicaciones mas hackeadas del año 2009, que junto a otras aplicaciones forman la puerta de entrada para la mayoría del software malicioso instalado en equipos de escritorio.

Yo personalmente pienso que es una mala decisión de Google incorporar aplicaciones de terceros que han demostrado con el tiempo la cantidad de fallos de seguridad que contienen, a no ser que ellos mismos se encarguen de asegurar el código de estas aplicaciones (lo cual no creo que pase), de todas formas la decisión de activar o no estos plugins son nuestras, ya que la primera vez que iniciemos Google Chrome nos preguntara si aceptamos los términos y habilitamos estos plugins o simplemente no lo hacemos:

Adobe afirma que está trabajando con Mozilla y Google para crear un nuevo API para complementos (plugins) de navegador. Este nuevo API, que estará basado sobre Mozilla NPAPI, el cual ha sido diseñado desde sus inicios para ser neutral para sistemas operativos y navegadores lo que debería mejorar el desempeño y seguridad.

Si quieres probar esta versión de Google Chrome con Flash Incorporado puedes descargarla desde el canal el dev channel de google chrome.

¿Y tu que opinas sobre esta decisión de Google?, déjanos saber tu respuesta con un comentario.

También puede interesarte...

• 0day en Google Chrome
• “Crean” un navegador pensando en su seguridad
• Descargar e Instalar Google Chrome OS
• La Mejor Defensa es la Información
• Secuestro de Frames Inocentes
• Recupera las contraseñas almacenadas en tu Navegador
• Muy Bonito, Muy de la Casa, MUY INSEGURO
• Nueva Vulnerabilidad en Google Chrome

El exploit fué detectado, está siendo activamente explotado, y no lo fué hasta que los colegas de Shadowserver escribieron un resumen de la falla, que Adobe se molestó en lanzar un advisory. Con la fecha de cobertura del 12 de febrero, de Symantec, solo podemos asumir que ellos contactaron Adobe así como también les dieron acceso a la muestra que ellos tenían. La respuesta oficial de Adobe es que un parche para Adobe Acrobat 9 estará disponible el 11 de Marzo, pero ninguna fecha ha sido anunciada para las versiones anteriores. Compare esta respuesta de Microsoft MS08-078, MS08-067, ó incluso MS06-001 y podrá ver una clara diferencia en la forma como responden éstas compañías a los ataques del mundo real en contra de sus usuarios.

Todos los proveedores de seguridad, tanto los que hacen antivirus, evaluación, ó productos de detección de intrusos dependen de la información detallada de las vulnerabilidades para sus productos, crear firmas, y al final, proteger mejor sus usuarios. A pesar de cuantos recursos tengan estos proveedores, todos ellos dependen de la información publica en cierta medida. Las compañías de antivirus tienen una ventaja en términos de recopilación de datos en bruto, pero aún usan sitios web como Milw0rm y herramientas como Metasploit para asegurarse de que sus productos realmente funcionan. La hipocresía es que si bien algunos de estos proveedores comparten información con el público e incluso contribuyen en la investigación de vulnerabilidades, muchos de ellos están usando estos recursos para el ensayo de productos y al mismo tiempo abrumar en sus aviso para la prensa y sus clientes.

El caso más notable de divulgación de información es cuando el beneficio de hacer pública esta información sobrepasa los riesgos posibles. En este caso, como en muchos otros, los chicos malos son los que ganan. Exploits ya están siendo usados y el hecho de que el resto del mundo apenas se esté dando cuenta no significa que estas vulnerabilidades sean nuevas. En este punto, la mejor estrategia es dar a conocer, distribuir la información pertinente, y aplicar la presión sobre los proveedores para liberar un parche.

Adobe ha programado el parche para el 11 de Marzo. Si cree que Symantec les notificó el 12 de Febrero, ha pasado casi un mes entero desde la noticia de un exploit disponible hasta la respuesta del vendedor. Si el vendedor involucrado fuera Microsoft, la prensa estaría criticándoles en este preciso instante. Que parte de “sus clientes están siendo explotados” no entienden?

De nuevo, Sourcefire se enfoca en donde el vendedor falla. Hoy día, Sourcefire VRT hizo público un parche provisional para mitigar este fallo hasta que adoba produzca el parche completo. Afortunadamente, el parche de Sourcefire, junto con las nuevas firmas de IDS y AVs, servirá hasta que Adobe libere la revisión.

Esta es una adaptación al español del articulo “The Best Defense is Information“ realizada por Cortex

También puede interesarte...

• Parchear problema de seguridad de Safari en iPhone, iPod Touch e iPad
• Parches para Windows que corrigen Vulnerabilidades Criticas
• Microsoft Publica parche que corrige Vulnerabilidad “Critica”
• DLL Hijacking con Metasploit
• TOP 10 Fallos de Seguridad en Aplicaciones Web
• Google Chrome podría dejar de ser el Navegador más Seguro
• Bypass con Metasploit: atacando a nuestro objetivo desde una maquina ya comprometida
• Vulnerabilidad 0-day en todas las versiones de Windows

cyanid-E quien ha echo publica esta vulnerabilidad en el software de Adobe ha publicado una prueba de concepto la cual puede ser descargada haciendo click aqui al abrir este PDF con Acrobat Reader 8.1 podremos observar algo parecido a esto.

Lo que hace este documento en pdf es ejecutar  la calculadora de windows, esta vulnerabilidad es bastante peligrosa ya que permite ejecutar código arbitrario.

Para ver el código ejecutado por el autor de esta prueba de concepto es necesario ir dentro del documento a Pages -> Page Properties -> Actions,  (trigger: Page Open, action: Open a web link).

Adobe ha publicado una solución temporal mientras saca un parche oficial para este fallo en el Acrobat Reader 8.1.

Yo les recomiendo utilizar el Foxit Reader, un lector de pdfs bastante funcional, mas liviana y rápida que el Acrobat de Reader, es gratuito y esta en español ademas no es vulnerable a este fallo

También puede interesarte...

• Google Chrome podría dejar de ser el Navegador más Seguro
• La Mejor Defensa es la Información