jueves, 12 de noviembre de 2020

Varias vulnerabilidades día cero en Google Chrome

A través de una alerta de seguridad, Google ha solicitado a los usuarios de Chrome para escritorio actualizar a la más reciente versión del navegador para prevenir la explotación de dos vulnerabilidades día cero. Las dos fallas reportadas permiten a los atacantes remotos no autenticados exponer los sistemas afectados y, acorde a Google, han sido explotadas en escenarios reales.

Prudhvikumar Bommana, uno de los principales responsables de Chrome, mencionó que la actualización 86.0.4240.198 para Windows, Mac y Linux será implementada durante los próximos días: “La actualización corregirá las dos fallas día cero identificadas como CVE-2020-16013 y CVE-2020-16017, que recibieron un puntaje de 8.4/10 según la escala del Common Vulnerability Scoring System (CVSS)“.

Sobre CVE-2020-16017, Google menciona que se trata de una falla use-after-free en el aislamiento del sitio, que es el componente de Chrome que aísla los datos de los diversos sitios que visita el usuario. Para explotar esta falla, los actores de amenazas podrían crear una página web especialmente diseñada capaz de ejecutar código arbitrario en el sistema objetivo.

Por otra parte, CVE-2020-16013 es una verificación de seguridad implementada incorrectamente en V8, un componente de código abierto de Chrome que maneja JavaScript y WebAssembly.

Otra vulnerabilidad día cero que Google corrigió recientemente (CVE-2020-16009) también existía debido a una implementación inapropiada de V8, pero se desconoce si las dos fallas están relacionadas. Por lo general, Google se abstiene de proporcionar detalles específicos sobre las vulnerabilidades hasta mucho después de que se hayan parcheado.

Luego, la semana pasada, Google corrigió dos fallas separadas de día cero en el escritorio de Google Chrome y en los navegadores basados en Android. El error de escritorio es la vulnerabilidad V8 antes mencionada, que podría usarse para la ejecución remota de código descubierta por investigadores del Grupo de Análisis de Amenazas de Google y Google Project Zero. El error de Android, también con un exploit activo, es un error de escape de la caja de arena que abrió un posible ataque basado en un desbordamiento del búfer de pila en la interfaz de usuario de Android, dijo la compañía.

El cargo Varias vulnerabilidades día cero en Google Chrome apareció primero en Noticias de seguridad informática, ciberseguridad y hacking.



Ver Fuente

No hay comentarios.:

Publicar un comentario