Google ha lanzado una actualización de software urgente para su navegador web Chrome y está instando a los usuarios de Windows, Mac y Linux a actualizar la aplicación a la última versión disponible de inmediato.
Comenzó a implementarse para los usuarios de todo el mundo este miércoles, la versión Chrome 77.0.3865.90 contiene parches de seguridad para 1 vulnerabilidad de seguridad crítica y 3 de alto riesgo, la más grave de las cuales podría permitir a los piratas informáticos remotos tomar el control de un sistema afectado.
Google ha decidido mantener en secreto los detalles de las cuatro vulnerabilidades durante unos días más para evitar que los hackers los exploten y dar a los usuarios el tiempo suficiente para instalar la actualización de Chrome.
Por ahora, el equipo de seguridad de Chrome solo ha revelado que las cuatro vulnerabilidades son problemas sin uso en diferentes componentes del navegador web, como se menciona a continuación, lo que podría provocar ataques de ejecución remota de código.
La vulnerabilidad de uso posterior libre es una clase de problema de corrupción de memoria que permite la corrupción o modificación de datos en la memoria, lo que permite a un usuario sin privilegios escalar privilegios en un sistema o software afectado.
Vulnerabilidades modificadas por Chrome 77.0.3865.90
- Use-after-free en UI (CVE-2019-13685) – Reportado por Khalil Zhani
- Use-after-free en los medios (CVE-2019-13688) – Reportado por Man Yue Mo del Equipo de Investigación de Seguridad Semmle
- Use-after-free en los medios (CVE-2019-13687) – Reportado por Man Yue Mo del Equipo de Investigación de Seguridad Semmle
- Use-after-free en páginas fuera de línea (CVE-2019-13686) – Reportado por Brendon Tiszka
Google ha pagado un total de $ 40,000 en recompensas a Man Yue Mo de Semmle por ambas vulnerabilidades: $ 20,000 por CVE-2019-13687 y $ 20,000 por CVE-2019-13688, mientras que las recompensas de errores para las dos vulnerabilidades restantes aún no se han establecido. decidido.
La explotación exitosa de estas vulnerabilidades podría permitir que un atacante ejecute código arbitrario en el contexto del navegador con solo convencer a las víctimas de que solo abran o redirijan a una página web especialmente diseñada en el navegador Chrome afectado, sin requerir ninguna interacción adicional.
Según las divulgaciones anteriores, la falla de uso libre posterior también podría conducir a la divulgación de información confidencial, eludir las restricciones de seguridad, acciones no autorizadas y causar condiciones de denegación de servicio, dependiendo de los privilegios asociados con la aplicación.
Aunque Google Chrome notifica automáticamente a los usuarios sobre la última versión disponible, se recomienda a los usuarios que activen manualmente el proceso de actualización yendo a «Ayuda → Acerca de Google Chrome» en el menú.
Además de esto, también se recomienda ejecutar todo el software en sus sistemas, siempre que sea posible, como un usuario no privilegiado para disminuir los efectos de los ataques exitosos que explotan cualquier vulnerabilidad de día cero.
Le actualizaremos más sobre estas vulnerabilidades de seguridad tan pronto como Google publique sus detalles técnicos.
Fuente: thehackernews.com