Usuarios de Chrome deben tomar medidas. Google advirtió que hay varias vulnerabilidades nuevas de alto nivel en su navegador, incluida una que considera "crítica". Esto es lo que necesita saber para mantenerse a salvo.
Se ha encontrado un nuevo hack de alto nivel de amenaza en Google Chrome. Google emitió la advertencia en una publicación de blog oficial, confirmando 11 nuevos ataques, nueve de los cuales considera amenazas de alto nivel además del exploit crítico mencionado anteriormente. Los usuarios de Chrome que ejecutan Windows, macOS y Linux son todos vulnerables.
Como es práctica estándar, Google actualmente está limitando la información sobre los nuevos hacks en un intento de ganar tiempo para que los usuarios de Chrome actualicen. Dicho esto, la compañía ha enumerado dónde se han llevado a cabo las hazañas exitosas y forma un patrón familiar.
Los 10 más graves a continuación:
- Crítico - CVE-2022-0971 : Usar después de libre en Blink Layout. Reportado por Sergei Glazunov de Google Project Zero el 2022-02-21
- Alto - CVE-2022-0972 : Usar después de gratis en Extensiones. Reportado por Sergei Glazunov de Google Project Zero el 2022-02-28
- Alto - CVE-2022-0973 : Usar después de gratis en Navegación segura. Reportado por avaue y Buff3tts en SSL el 2022-02-15
- Alto - CVE-2022-0974 : Usar después de gratis en Splitscreen. Reportado por @ginggilBesel el 2022-01-28
- Alto - CVE-2022-0975 : Usar después de libre en ÁNGULO. Reportado por SeongHwan Park (SeHwa) el 2022-02-09
- Alto : CVE-2022-0976 : desbordamiento del búfer de almacenamiento dinámico en la GPU. Avisado por Omair el 2022-02-13
- Alto - CVE-2022-0977 : Usar después de gratis en la interfaz de usuario del navegador. Reportado por Khalil Zhani el 2022-02-20
- Alto - CVE-2022-0978 : Usar después de libre en ÁNGULO. Informado por Cassidy Kim de Amber Security Lab, OPPO Mobile Telecommunications Corp. Ltd. el 2022-02-20
- Alto - CVE-2022-0979 : Usar después de gratis en Navegación segura. Reportado por anónimo el 2022-03-03
- Medio - CVE-2022-0980 : usar después de gratis en la página Nueva pestaña. Reportado por Krace el 2022-03-02
Los exploits 'Use-After-Free' ( UAF ) han sido consistentemente la forma más exitosa de hackear Chrome, pero las cosas han subido otro nivel aquí con nueve de los 11 hacks usando este método. Ha habido 40 hacks UAF de Chrome desde el comienzo de 2022. Las vulnerabilidades UAF son explotaciones de memoria creadas cuando un programa no borra el puntero a la memoria después de liberarla.
La segunda ruta más popular es a través de un exploit de desbordamiento de búfer Heap, y esto constituye el ataque restante. También conocida como "Heap Smashing", la memoria en el montón se asigna dinámicamente y normalmente contiene datos de programa. Con un desbordamiento, las estructuras de datos críticos se pueden sobrescribir, lo que lo convierte en un objetivo ideal para los piratas informáticos.
Sin embargo, la buena noticia es que Google no ha encontrado nuevas vulnerabilidades de día cero (cuando un pirata informático puede explotar una vulnerabilidad antes de encontrar una solución). Dicho esto, Google advirtió recientemente que los ataques de día cero están aumentando.
Para combatir estas nuevas amenazas, la compañía lanzó Chrome 99.0.4844.74 (Próximamente llegará Chrome 100). Google dice que la actualización "se implementará en los próximos días/semanas".
Cómo saber si su navegador está protegido
Para comprobar si su navegador está protegido, vaya a:
- Configuración
- Ayuda
- Acerca de Google Chrome
- Esto le dirá la versión de su navegador. Si la actualización aún no está disponible para su navegador, vuelva a consultar periódicamente . Y recuerda, no estás protegido hasta que tu navegador haya sido reiniciado.
En una publicación de blog, Adrian Taylor, del equipo de seguridad de Google Chrome, explicó que los ataques de día cero (hacks que se convierten en "lo salvaje" antes de que Google pueda emitir una solución) están aumentando drásticamente.
Es posible que haya notado que frases como 'explotación para CVE-1234-567 existe en la naturaleza' han aparecido con más frecuencia recientemente, explica Taylor. Si bien el aumento inicialmente puede parecer preocupante, es importante comprender la razón detrás de esta tendencia.
Taylor explica que los piratas informáticos necesitan cada vez más "múltiples ataques" para atravesar las defensas de Chrome debido al sandboxing. Este es un mecanismo de seguridad para separar los programas en ejecución, por lo que los ataques exitosos no pueden propagarse a partes más vulnerables del navegador.
Dicho esto, Taylor admite que la desaprobación de Adobe Flash y el espectacular aumento de la popularidad de los navegadores basados ??en Chrome y Chromium también son factores clave. En resumen: tienen un objetivo mucho más grande en la espalda.
También está la cuestión de la complejidad, con Taylor señalando que "simplemente existe el hecho de que el software tiene errores [y] los navegadores reflejan cada vez más la complejidad de los sistemas operativos, brindando acceso a sus periféricos, sistema de archivos, renderizado 3D, GPU, y más complejidad significa más errores".
*Con información de Forbes US.