Monday 21 September 2015

16 caracteres bastan para que Chrome falle

SOURCE: Noticias de seguridad informática http://noticiasseguridad.com/vulnerabilidades/16-caracteres-bastan-para-que-chrome-falle/
TAGS: 16 caracteres, Aw snap, Google

Una línea de 16 caracteres provoca que Google Chrome falle de forma automática. El bug ha sido descubierto por un investigador independiente.


¿Se puede provocar un fallo en Chrome con sólo 16 caracteres? Se puede. Antes incluso se podía conseguir con 13 caracteres, pero con el tiempo se ha acabado necesitando un string un poco más largo que puede “tirar” Google Chrome de forma instantánea. No es broma, puede hacerse, y para ello sólo hay que seguir cualquiera de estos tres trucos:



  • Teclear un enlace de 16 caracteres y pulsar intro.

  • Hacer clic en un enlace de 16 caracteres.

  • Poner el puntero del ratón encima del enlace.

Efectivamente, no es necesario abrir el link siquiera para que el navegador se caiga, con pasar el puntero del ratón por encima ya es suficiente. Con cualquiera de estos tres trucos se puede provocar el fallo de una pestaña o de todo el navegador.


El fallo ha sido descubierto por el investigador de seguridad Andris Atteka, que explicó en su propio blog cómo con sólo añadir un carácter NULL en el string que hace las veces de URL podría  ser suficiente para hacer que el navegador fallase. Atteka dio con un total de 26 caracteres, mientras que en el medio VentureBeat consiguieron reducirlo a 16.


El string de Atteka se componía de los siguientes caracteres:








wikipedia


Atteka ha dado una explicación bastante técnica del error en su blog, que podemos resumir comoun fallo muy antiguo oculto en el código, que o bien se pasó por alto o no se solucionó en primer lugar. No se trata de un fallo de seguridad como ya dijimos antes, aunque tampoco es un error menor.


De hecho, este bug podría convertirse en algo muy molesto: Cualquier persona puede copiar losstrings y compartirlos, lo que automáticamente provocaría el fallo en todos los navegadores que quieran cargar ese enlace. Se podría incluso convertir en una especie de broma viral, siempre y cuando el envío del enlace coja fuerza en Internet.


El pasado mes de junio se descubrió algo similar en Skype, que provocaba el fallo de la aplicación con la línea


code_


El programa se cerraba de forma automática y ni siquiera advertía al usuario de por qué.


Atteka dice que ha reportado el fallo a Google, pero que no ha recibido nada por parte de la empresa debido a que el bug no es una amenaza de seguridad muy grande. En cuanto a qué versiones afecta, todas aquellas que vayan hasta la versión 45 —la actual versión estable, inclusive— son susceptibles de fallar por este bug.


Al parecer el fallo se reproduce en todas las versiones de escritorio, y también en las versiones móviles.


Fuente:http://www.malavida.com/


Noticias de seguridad informática

No comments:

Post a Comment