Google Chrome se ha ganado la reputación de tener una seguridad excepcional. Mientras que Internet Explorer, Safari y Firefox son vencidos regularmente en la convención de hackers Pwn2Own, Chrome ha salido ileso siempre. Es más, Google trató de atraer este año a los hacker más importantes al ofrecer una recompensa de $20.000 al que pueda escapar del sandbox del navegador – nadie ni siquiera intento. A pesar del record impecable de Chrome, una compañía de seguridad francesa demostró hoy que no es a prueba de balas.

Vupen Security reporta que ha oficialmente “pwned” el sandbox de Google Chrome. En el video a continuación (sin sonido), la compañía muestra una vulnerabilidad no conocida que puede ser usada para superar todos los mecanismos de seguridad en la última versión de Chrome (11.0.695.65) al correr Windows 7 SP x64. En el video, Vupen visita una página web especialmente creada para inyectar código malintencionado que elimina la protección del sandbox, para luego descargar y ejecutar una aplicación.

Vupen considera que el hack es uno de los más sofisticados que han visto, pero no solo porque supera las medidas de seguridad anteriormente mencionadas, sino porque también lo hace sin que el navegador se cuelgue. Según el ejemplo un atacante puede ganar control de tu computadora sin que te des cuenta. Ya que la falla no se conoce y no ha sido publicada, no es una amenaza inmediata pero Vupen supuestamente ha elegido no darle a Google la información necesaria a Google por lo que no está claro cuándo estará listo un parche.