lunes, 8 de febrero de 2021

Nueva vulnerabilidad activa para Google Chrome (y otros basados en Chromium)

Google Chrome es el navegador web más usado del mercado y acapara una cuota de mercado cercano al 70%. Ello quiere decir que cualquier problema de seguridad afecta a decenas de millones de internautas. Y en este caso más, porque también afecta a otros navegadores basados en Chromium, como Edge, Opera o Vivaldi. Un error en el motor V8 JavaScript





Google ha parcheado una vulnerabilidad de día cero en la versión de escritorio de su navegador. La 88.0.4324.150 que ya está disponible para Windows, Mac y Linux y a la que conviene actualizar de inmediato porque se ha localizado un exploit activo. 


Motor de renderizado de código abierto V8 JavaScript

La vulnerabilidad ha sido etiquetada como CVE-2021-21148 y radica en un desbordamiento del búfer de pila en el motor de renderizado de código abierto V8 JavaScript usado en Chrome y en el resto de desarrolladores basados en Chromium. 

Si bien es típico de Google limitar la información hasta que la mayoría de los usuarios estén actualizados, el desarrollo se produce semanas después de que el gigante de Internet revelara junto a Microsoft los ataques llevados a cabo por hackers norcoreanos contra investigadores de seguridad, mediante una elaborada campaña de ingeniería social para instalar una puerta trasera en Windows. No se ha informado si tienen relación con este fallo de Google Chrome.

Google parcheó cinco 0-Day para Chrome en el último trimestre de 2020, entre ellos un defecto de corrupción de memoria en la biblioteca de representación de fuentes FreeType. El fallo era crítico como el actual y estaba siendo explotado activamente.

Mattias Buelens informó a Google de la falla de seguridad el 24 de enero. Anteriormente, el 2 de febrero, Google abordó seis problemas en Chrome, incluido un uso crítico después de la vulnerabilidad gratuita en Payments (CVE-2021-21142) y cuatro fallas de gravedad alta en las funciones de Extensiones, Grupos de pestañas, Fuentes y Navegación.

Si bien es típico de Google limitar los detalles de la vulnerabilidad hasta que la mayoría de los usuarios estén actualizados con la solución, el desarrollo se produce semanas después de que Google y Microsoft revelaran los ataques llevados a cabo por delincuentes informáticos norcoreanos contra investigadores de seguridad con una elaborada campaña de ingeniería social para instalar un puerta trasera de Windows. 

Debido a la gravedad y explotación se recomienda encarecidamente a los usuarios la instalación de la última versión de Google Chrome o la actualización de versiones instaladas a la última 88.0.4324.150, mediante la función instalada en el navegador en Configuración > Ayuda > Información de Google Chrome. El fallo afecta a otros navegadores basados en Chromium ya que radica en el motor de código abierto V8 que utilizan todos.

 En otro artículo técnico, la empresa de ciberseguridad de Corea del Sur, ENKI, dijo que el grupo de atacantes patrocinado por el estado norcoreano conocido como Lazarus hizo un intento fallido de atacar a sus investigadores de seguridad con archivos MHTML maliciosos que, cuando se abrieron, descargaron dos payloads de un servidor remoto , uno de los cuales contenía un Zero-Day contra Internet Explorer.

Vale la pena señalar que el año pasado Google arregló cinco Zero-Days de Chrome que fueron explotados activamente en un lapso de un mes entre el 20 de octubre y el 12 de noviembre. 

Fuente:

https://www.muyseguridad.net/2021/02/06/0-day-google-chrome/

https://blog.segu-info.com.ar/2021/02/nuevo-zero-day-en-chrome-parchea.html

No hay comentarios:

Publicar un comentario