Investigadores descubren 11 fallos de seguridad profundos en los navegadores Chrome y Firefox

Investigadores del Georgia Tech encuentran agujeros de seguridad en los navegadores Chrome y Firefox

Investigadores del Colegio de Computación del Instituto de Tecnología de Georgia han encontrado 11 fallos previamente no descubiertos en dos de los navegadores de Internet más utilizados: Google Chrome y Mozilla Firefox.

Los investigadores encontraron estos agujeros enterrados profundamente en el sistema a través de un nuevo método de análisis de ciberseguridad.

Por sus esfuerzos, fueron recompensados con el Premio de Defensa de Internet, un galardón presentado por Facebook, en asociación con USENIX, en el 24º Simposio de Seguridad de USENIX que finalizó el 14 de agosto.

Los estudiantes de doctorado Byoungyoung Lee y Chengyu Song, junto con los profesores Taesoo Kim y Wenke Lee, de Georgia Tech, recibieron $100,000 de Facebook para continuar su investigación y aumentar su impacto para hacer que Internet sea más seguro.

Su investigación, “Verificación de Casting de Tipo: Deteniendo un Vector de Ataque Emergente”, explora vulnerabilidades en programas C++ (como Chrome y Firefox) que resultan de “mal casting” o “confusión de tipo”. El mal casting permite a un atacante corromper la memoria en un navegador para que siga una lógica maliciosa en lugar de instrucciones adecuadas. Los investigadores desarrollaron una nueva herramienta de detección propietaria llamada CAVER para atraparlos. CAVER es una herramienta de detección en tiempo de ejecución con un sobrecosto del 7.6 por ciento al 64.6 por ciento en el rendimiento del navegador (Chrome y Firefox, respectivamente).

Las 11 vulnerabilidades identificadas por Georgia Tech han sido confirmadas tanto por Mozilla como por Google y ambos navegadores han sido parcheados.

“Es hora de que la comunidad de Internet comience a abordar los problemas de seguridad más difíciles y profundos”, dice Wenke Lee, profesor en la Escuela de Ciencias de la Computación y asesor del equipo. “La comunidad de investigación en seguridad ha estado trabajando en varias formas de detectar y corregir errores de seguridad de memoria durante décadas, y ha progresado en errores de ‘desbordamiento de pila’ y ‘desbordamiento de heap’, pero estos se han convertido en problemas relativamente fáciles. Nuestro trabajo estudió los errores mucho más difíciles y profundos, en particular ‘uso después de liberar’ y ‘mal casting’, y nuestras herramientas descubrieron errores de seguridad graves en software ampliamente utilizado, como Firefox y libstdc++. Estamos agradecidos a Facebook por este reconocimiento.”

Los investigadores desarrollaron una nueva herramienta de detección propietaria llamada CAVER para atraparlos. CAVER es una herramienta de detección en tiempo de ejecución con un sobrecosto del 7.6 por ciento al 64.6 por ciento en el rendimiento de Chrome y Firefox.

“Diseñar tecnología de seguridad defensiva nunca ha sido más importante, y por eso estamos ofreciendo una vez más el Premio de Defensa de Internet para estimular la investigación de alta calidad en esta área”, dijo Ioannis Papagiannis, gerente de ingeniería de seguridad en Facebook. “La técnica novedosa del equipo de Georgia Tech para detectar malos casts de tipo en programas C++ es el tipo de enfoque destacado que queremos fomentar. Esperamos ver lo que el equipo hace a continuación para crear un impacto más amplio y mejorar la seguridad en Internet.” “La entrada galardonada de Georgia Tech ejemplifica la investigación de seguridad innovadora que se ha convertido en un sello distintivo del Simposio de Seguridad de USENIX”, dijo Casey Henderson, director ejecutivo de la Asociación USENIX. “Su trabajo pionero se destacó entre las muchas presentaciones sobresalientes juzgadas por el Comité de Premios de Seguridad de USENIX y Facebook. Esperamos su progreso continuo habilitado por el Premio de Defensa de Internet en el próximo año.