Se necesita mucho para asustar a cualquiera en la noche de Halloween, pero los ingenieros de Google Chrome se asustaron lo suficiente como para emitir un anuncio de actualización urgente para el navegador en todas las plataformas. Entonces, ¿qué le dio a Google los heebie-jeebies? La respuesta no es una, sino dos vulnerabilidades de seguridad, una de las cuales ya tiene una explotación de día cero en la naturaleza.
Esto es lo que se sabe hasta ahora
La divulgación del 31 de octubre de Google confirmó que el navegador Chrome de escritorio de «canal estable se esta actualizando a la versión 78.0.3904.87 en las plataformas Windows, Mac y Linux. Esta actualización urgente comenzara a implementarse «en los próximos días / semanas , según Google. A diferencia de las alertas de seguridad recientes de Windows 10 que aconsejan no instalar una actualización , los usuarios de Chrome deben asegurarse de instalarla.
En este momento, esta resultando difícil encontrar muchos detalles específicos sobre cualquiera de las vulnerabilidades en cuestión, aparte del hecho de que una de las dos reparadas por la actualización ya esta siendo explotada en la naturaleza.
Google dijo que esto se debe a que: «El acceso a los detalles y enlaces de errores puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución. También mantendremos restricciones si el error existe en una biblioteca de terceros de la que otros proyectos dependen de manera similar pero aún no lo he arreglado «.
¿Qué es el exploit de día cero de Google Chrome?
Lo que se sabe es que Google dijo que el exploit existe en la naturaleza es por la vulnerabilidad CVE-2019-13720 . Esto fue informado por dos investigadores de Kaspersky, Anton Ivanov y Alexey Kulaev, el 29 de octubre. Según una declaración de la Agencia de Seguridad Cibernética y de Infraestructura (CISA) del Departamento de Seguridad Nacional de EE. UU. , La actualización de Google «aborda las vulnerabilidades que un atacante podría explotar para tomar el control de un sistema afectado «, pero eso es todo lo que se detalla.
Tanto esto como CVE-2019-13721 son vulnerabilidades de «uso libre después , que explotan la corrupción de la memoria para escalar los privilegios en el sistema atacado. Para CVE-2019-13721, esto afecta la biblioteca PDFium que participa en la generación y visualización de archivos PDF. Es el otro, CVE-2019-13720, que se ha reportado como explotado en la naturaleza y esto afecta el componente de audio del navegador web Chrome.
¿Qué tan graves son estas vulnerabilidades de día cero de Google Chrome?
Si bien cualquier vulnerabilidad a la que se le otorgue una calificación de gravedad alta debe tomarse en serio, sigue habiendo diferentes niveles de riesgo para los usuarios promedio y aquellos que probablemente sean de interés para los piratas informa ticos de los estados nacionales, por ejemplo. A diferencia de las alertas de seguridad recientes de Android, incluido el ahora infame malware Joker , parece que el riesgo del mundo real no es demasiado crítico para la mayoría de las personas.
«Para mí, es un riesgo relativamente bajo, con Google reconociendo ra pidamente las vulnerabilidades , Mike Thompson, un especialista en seguridad de aplicaciones, «es otro día en la oficina de ‘día cero’ donde, en mi humilde opinión, la probabilidad de cualquier daño real es mínimo «.
John Opdenakker, un hacker ético, esta de acuerdo en que es bueno ver a Google actuar tan ra pido, «particularmente en lo que respecta al que ya ha sido explotado en la naturaleza , dice.
Después de investigar un poco ma s, ya que los hackers éticos tienen la costumbre de hacerlo, dice Opdenakker, «esta vulnerabilidad ma s grave solo puede explotarse a través de sitios web especialmente diseñados , lo que significa que «el usuario promedio no debería perder el sueño .
Consejos de mitigación
Dicho esto, tanto Opdenakker como Thompson también aconsejan a los usuarios que se aseguren de que la actualización del navegador Chrome esté instalada lo antes posible para mitigar cualquier riesgo.
Esto debería suceder automa ticamente en los próximos días y semanas; sin embargo, recomendaría a los usuarios de Chrome que activen manualmente el proceso de actualización mediante la opción de menú «Ayuda | Acerca de Google Chrome .
FUENTE: secureweek.com