Google reveló que dos debilidades en Chrome están bajo ataque activo, ya que se instó a los usuarios a actualizar su navegador para evitar convertirse en víctimas.
Fueron denunciados a Google a través de una persona anónima y se les dio una calificación de gravedad "alta". Se proporcionó poca más información sobre dónde o cómo se aprovecharon las vulnerabilidades. La versión actualizada se lanzará para los usuarios de Windows, Mac y Linux "durante los próximos días o semanas", difundió Google a través de una publicación de blog.
Los usuarios pueden comprobar qué versión están ejecutando haciendo clic en el botón "Acerca de Google Chrome" en la sección de ayuda del navegador.
El lunes fue un gran día para las actualizaciones de seguridad importantes. Google también reveló otras nueve vulnerabilidades calificadas de "alta" gravedad que fueron parcheadas en la última versión de Chrome. Dos de ellos se consideraron lo suficientemente serias como para justificar un pago de US$ 7.500 a los investigadores de seguridad que las encontraron.
Mientras tanto, Apple lanzó una actualización de emergencia de iOS para lidiar con una vulnerabilidad que supuestamente había sido explotada por el proveedor israelí de software espía NSO Group, valorado en US$ 1.000 millones.
Microsoft tuvo un 2021 particularmente difícil, con ataques dirigidos a Exchange que se incrementaron en los últimos meses. Un ex miembro del personal de seguridad, Kevin Beaumont, criticó abiertamente a Microsoft por no hacer más para advertir a los usuarios sobre la necesidad de parchear las vulnerabilidades que utilizaron los piratas informáticos en los ataques de ransomware en las últimas semanas.
Los problemas de Google Chrome
Google Chrome ahora es utilizado por aproximadamente 2,65 BN usuarios, ya que domina el mercado de navegadores web. Sin embargo, el problema con tal dominio es que Chrome se convirtió en el objetivo número uno para los piratas informáticos y ahora Google tuvo que emitir otra advertencia seria de actualización.
En una nueva publicación de blog, Google reveló que se han descubierto dos nuevos exploits de 'día cero' en Chrome para Linux, macOS y Windows. Sus clasificaciones de día cero significan que los piratas informáticos han podido explotarlos antes de que Google pudiera lanzar correcciones, lo que los hace significativamente más peligrosos que la mayoría de las fallas de seguridad.
Como es una práctica estándar, Google actualmente está revelando poco sobre estos defectos de día cero. Esto es para limitar su propagación y ganar tiempo para que los usuarios se protejan. En consecuencia, además de clasificar su amenaza como "Alta", esto es todo lo que los usuarios de Chrome deben hacer ahora mismo:
- Alto - CVE-2021-30632: Escritura fuera de límites en V8. Reportado por Anonymous el 2021-09-08
- Alto - CVE-2021-30633: Úselo después de gratis en la API de base de datos indexada. Reportado por Anonymous el 2021-09-08
Según las fechas, es seguro asumir que la fuente de ambas fallas de día cero es la misma. En cuanto a sus breves descripciones, V8 es el motor JavaScript de código abierto en el corazón de Chrome, mientras que las vulnerabilidades Use-After-Free ( UAF ) se relacionan con el uso incorrecto de la memoria dinámica durante la operación del programa. Si el programa no borra el puntero a la memoria después de que se libera, los piratas informáticos pueden usar este error para explotar el programa.
Las vulnerabilidades UAF fueron la fuente de cinco amenazas de Chrome con calificación 'alta' a principios de este mes, mientras que V8 fue el objetivo del último ataque de Chrome de día cero en julio. Google también advierte que se han encontrado nueve amenazas de nivel "alto" adicionales en Chrome, pero actualmente no se cree que hayan sido explotadas en la naturaleza.
Para combatir estas nuevas amenazas, todos los usuarios de Chrome deben navegar a Configuración> Ayuda> Acerca de Google Chrome . Si la versión de su navegador en Linux, macOS o Windows aparece como 93.0.4577.82 o superior, está a salvo. Google afirma que esta nueva versión protegida de Chrome "se implementará en los próximos días / semanas", por lo que es posible que no pueda protegerse de inmediato. Si puede actualizar, debe hacerlo y luego reinicie su navegador de inmediato.
Google continúa corrigiendo las fallas de Chrome a un ritmo rápido, pero esto solo es efectivo si sus miles de millones de usuarios también hacen su parte. Los ataques a Chrome están aumentando a medida que se vuelve cada vez más dominante en el mercado, por lo que es esencial mantener su navegador actualizado en todo momento. Ve a comprobarlo ahora mismo.
*Con información de Forbes US.