Google lanzó hoy Chrome 86.0.4240.183 para Windows, Mac y Linux para abordar 10 vulnerabilidades de seguridad, incluida una ejecución remota de código (RCE) explotada de día cero en la naturaleza.

El día cero fue informado por Clement Lecigne del Grupo de Análisis de Amenazas de Google y Samuel Groß de Google Project Zero el 29 de octubre de 2020.

No hay detalles sobre los ataques

La vulnerabilidad RCE se rastrea como CVE-2020-16009 y se describe como una implementación inapropiada en V8 , el motor de JavaScript y WebAssembly de alto rendimiento basado en C ++ y de código abierto de Google.

Si bien Google dice que «está al tanto de los informes de que existe un exploit para CVE-2020-16009 en la naturaleza», la compañía no proporcionó ningún detalle sobre los actores de amenazas detrás de estos ataques.

«El acceso a los detalles de los errores y los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución», agrega Google.

«También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que otros proyectos dependen de manera similar, pero que aún no se han solucionado».

Hoy, Google parcheó otro día cero en Chrome para Android explotado en la naturaleza, una vulnerabilidad de escape de la caja de arena rastreada como CVE-2020-16010.

CVE-2020-16009 es el segundo parche de día cero de Chrome explotado activamente en las últimas dos semanas después de un error de día cero de desbordamiento de búfer de pila encontrado en la biblioteca de representación de texto FreeType .

La semana pasada, el equipo de búsqueda de errores de Project Zero 0day de Google reveló un día cero de elevación de privilegios (EoP) del kernel de Windows explotado activamente y registrado como CVE-2020-17087, que afecta a todas las versiones entre Windows 7 y Windows 10.

Se abordaron otras seis fallas de seguridad

Google también solucionó otras seis vulnerabilidades de seguridad de alta gravedad en Chrome 86.0.4240.183:

  • CVE-2020-16004: Úselo después de gratis en la interfaz de usuario. Reportado por Leecraso y Guang Gong de 360 ​​Alpha Lab trabajando con 360 BugCloud el 2020-10-15
  • CVE-2020-16005: Cumplimiento de políticas insuficiente en ANGLE. Reportado por Jaehun Jeong (@ n3sk) de Theori el 2020-10-16
  • CVE-2020-16006: Implementación inadecuada en V8. Reportado por Bill Parks el 2020-09-29
  • CVE-2020-16007: Validación de datos insuficiente en el instalador. Reportado por Abdelhamid Naceri (halov) el 2020-09-04
  • CVE-2020-16008: Desbordamiento del búfer de pila en WebRTC. Reportado por Tolya Korniltsev el 2020-10-01
  • CVE-2020-16011: desbordamiento del búfer de pila en la interfaz de usuario de Windows. Reportado por Sergei Glazunov de Google Project Zero el 2020-11-01

Chrome 86.0.4240.183 se implementará para los usuarios durante los próximos días o semanas. Los usuarios de escritorio pueden actualizar yendo a Configuración -> Ayuda -> Acerca de Google Chrome.

El navegador web buscará automáticamente la nueva actualización y la instalará cuando esté disponible.

Fuente y redacción: bleepingcomputer.com

Compartir