Adiós, exploits: Google Chrome 90 es invulnerable a ellos

Adiós, exploits: Google Chrome 90 es invulnerable a ellos

Rubén Velasco

Los navegadores son la puerta de entrada directa a Internet, y, por ello, también pueden ser la puerta de entrada a nuestro PC. Los piratas informáticos buscan siempre el menor fallo posible de manera que, a través de una web, puedan poner en peligro nuestra seguridad. Para ello, suelen crear lo que conocemos como exploits, pequeños programas diseñados para aprovecharse de fallos y cargarse en la memoria a través del proceso del navegador, el primer paso para un ataque informático. Sin embargo, gracias a esta nueva medida de seguridad, esto puede ser historia en Chrome.

Windows 10 versión 2004 trajo consigo una nueva medida de seguridad: Hardware-enforced Stack Protection. Gracias al Control-flow Enforcement Technology (CET), una tecnología incluida en los últimos procesadores (Intel 11th Gen y AMD Zen 3) los piratas informáticos van a tener mucho más difícil poder aprovecharse de fallos en el navegador para crear un exploit y poner en peligro a los usuarios.

Esta nueva tecnología protege a los programas de las técnicas más usadas por los piratas al crear estos exploits, como Return-Oriented Programming (ROP) y Jump Oriented Programming (JOP). Así, cuando Windows 10 detecta que el comportamiento natural de un programa ha sido modificado (por el exploit), lo bloquea directamente para evitar que se ponga en peligro la seguridad de los usuarios.

Chrome Hardware-enforced Stack Protection

Aunque esta función ya está disponible de forma nativa en Windows 10, en realidad son los programas quienes deben implementarla. De lo contrario, no servirá para nada. Y tal como afirma Google, el nuevo Chrome 90 ya cuenta con esta implementación de seguridad. Eso sí, siempre que tengamos una CPU compatible con ella. Si tenemos un procesador más antiguo, esta protección contra exploits no estará disponible en nuestro navegador, y no hay forma de suplantarla o sustituirla.

Llegará también a otros navegadores

Google Chrome no es el primer navegador que adopta esta medida de seguridad. El pasado mes de junio, Edge ya implementó el soporte para Hardware-enforced Stack Protection dentro de la rama Canary del mismo. Así, los usuarios que tengan un procesador de última generación, y una versión de 2020 de Windows 10, ya pueden probar la nueva función de seguridad.

Además, los cambios se están implementando directamente en Chromium, no son funciones privativas de los distintos navegadores. Por lo tanto, seguramente veamos esta nueva función de seguridad muy pronto en otros navegadores basados en él, como Brave y Opera. Firefox también podría recibir esta función pronto. Sin embargo, Mozilla lleva un año trabajando en ella sin éxito y, al no estar basado en Chromium, no puede adoptarla de dicho motor.

Posibles problemas de la función de Chrome

Aunque toda medida de seguridad siempre es bienvenida en los navegadores, en realidad hay que tener cuidado. Igual que los exploits lo van a tener mucho más complicado a la hora de cargarse en los ordenadores, hay programas legítimos, diseñados para ejecutarse junto al navegador, que también podrían tener problemas.

Si el software en concreto (por ejemplo, una extensión) no es compatible con esta mitigación y utiliza las mismas técnicas que usan los exploits para funcionar, seguramente tenga problemas de estabilidad. Incluso puede llegar a no funcionar, obligando al desarrollador a compilarla de nuevo y a hacerla compatible con esta medida de seguridad.