Skip to main content

Una actualización de Windows 10 ha conseguido romper la seguridad de Chrome con una sola línea de código

Navegador Google Chrome

24/04/2020 - 10:30

No está siendo una semana buena para Windows 10. Prácticamente no hay actualización en la que no se rompa algo, pero esta semana el sistema de los de Redmond se lleva la palma tanto por las pantallas azules como por el hallazgo de una línea de código de Windows 10 que rompe la seguridad de Google Chrome.

Como decimos, la última actualización de Windows 10 está dando algunos problemas. Primero, algunos equipos se vieron afectados con un fallo que provoca una pérdida de rendimiento, pero poco después nos enteramos del resurgir de las pantallas azules de la muerte (servidor ha sufrido dos esta semana, por cierto).

El nuevo descubrimiento va algo más allá. Y es que, un investigador del proyecto Zero de Google (los encargados, por parte de Google, de investigar brechas de seguridad en programas, hardware y sistemas operativos) ha descubierto que una línea de código rompió la seguridad de Google Chrome.

Y no es nuevo: se introdujo en la actualización de mayo de 2019

¿Qué prefieres, Windows 10 o Google Chrome? Si hubiéramos conocido esta vulnerabilidad, durante el último año muchos usuarios nos habríamos hecho esa pregunta. 

Y es que, como el investigador James Forshaw, de Project Zero, ha descrito en un reciente blog (vía Forbes) llamado "No creerás lo que un solo cambio de código puede hacer a Chrome Sandbox", un ligero cambio del código de Windows 10 en su actualización 1903 desarticuló la seguridad de Google Chrome.

Windows 10 1903 fue la actualización de mayo del sistema operativo que introdujo varios cambios importantes. En abril/mayo se suele hacer la primera gran actualización anual de Windows 10 (Microsoft ya está preparando la de este año) y en la del año pasado se introdujeron novedades que fueron bien recibidas por los usuarios.

Sin embargo, también se cambió una línea de código que permitía, directamente, hackear Google Chrome por culpa de Windows 10. Este fallo permitía que un ciberdelincuente se saltase el sandbox de Chrome, por lo que tendría el control del sistema y acceder a los datos allí guardados.

El modo sandbox es algo bastante común en programas y sistemas operativos (Windows 10 lo introdujo el año pasado, de hecho). Se trata de una protección que aísla programas concretos para que, si algo falla, no afecte al resto del sistema, al quedar completamente aislado.

El problema es que, en este caso es el propio sistema operativo el que permitía entrar a la fuerza en Chrome, rompiendo esa protección y dejando vulnerable el software. Como Forshaw detalla, el sandbox de Google Chrome es una de las mejores protecciones sin requerir seguridad adicional, pero todo esto no sirve de nada si hay un fallo en Windows, ya que Chrome depende del sistema de Microsoft y, evidentemente, Google no tiene voz ni voto cuando se cambian ciertas cosas del código de Windows 10.

La buena noticia es que, casi un año después, Forshaw encontró el fallo y, al advertir a Microsoft, los de Redmond actuaron cambiando esa línea para hacer que Chrome sea algo más seguro, pero hemos convivido un año con ese fallo sin enterarnos.

Ahora bien, ¿por qué hay tantos errores en Windows 10? La respuesta es sencilla y, como os contamos hace un tiempo, el código tiene toneladas de líneas. Pesa muchísimo y se ha ido construyendo sobre la base de hace generaciones, por lo que es muy complicado añadir algo sin romper una función previa.

A veces es una tontería menor, otras es un fallo que provoca una pantalla azul pasajera... y otras veces abre la puerta a hackers.