News

Google parcha dos vulnerabilidades de día cero en una actualización de Chrome

Google ha lanzado esta semana una nueva versión de su navegador Chrome para Windows, Mac y Linux. La actualización soluciona dos vulnerabilidades de día cero que tenían exploits rondando en la red, lo que las ponía en riesgo inminente de ser aprovechadas por ciberdelincuentes.

La primera, CVE-20201-21206, es una vulnerabilidad “use-after-free” (de uso de memoria que ha sido liberada) en el motor de renderizado Blink que utiliza el navegador. Esta falla fue denunciada de forma anónima.

La segunda vulnerabilidad, CVE-2021-21220, es una falla de validación insuficiente de datos entrantes que los investigadores Bruno Keith y Niklas Baumstark, de Dataflow Security, descubrieron la semana pasada en la competencia Pwn2Own. La falla se encuentra en la V8 del motor JavaScript de Chrome.

Google describió a ambas vulnerabilidades como de “gravedad alta”, pero no ofreció una puntuación para medirla. También confirmó que se habían encontrado exploits para ambas vulnerabilidades a disposición de los usuarios de Internet. “Google tiene conocimiento de que se han encontrado exploits para CVE-2021-21206 y CVE-2021-21220 en la red”, indicó Prudhvikumar Bommana, Gerente del Programa Técnico de Chrome en una publicación del blog de la compañía.

Si bien el hecho de que existan exploits no quiere decir que se hayan estado explotando estas vulnerabilidades de forma activa, sí representa una amenaza mayor y pudo haber sido un factor determinante para que se desarrollen parches y desplieguen las actualizaciones con rapidez.

Los expertos en seguridad han advertido que los cibercriminales suelen analizar los parches más recientes para aplicar ingeniería inversa y así descubrir los pormenores de la vulnerabilidad que se está parchando. De esta manera, intentan apresurar sus ataques para atacar a los usuarios antes de que instalen las actualizaciones.

Por esa razón, la respuesta rápida de Google en el desarrollo de los parches no es suficiente por sí sola, ya que debe ser complementada con una reacción rápida de los usuarios. Como siempre, se les recomienda que instalen las actualizaciones lo antes posible para protegerse de los exploits existentes y de los que puedan desarrollarse en un futuro para estas vulnerabilidades.

“La Ejecución Remota de Código (RCE) podría dar lugar a que los ciberdelincuentes ejecuten códigos en tus equipos, lo que obligó a Google a responder con rapidez para solucionar estos problemas, y si Google responde con rapidez quiere decir que tú también deberías hacerlo”, dijo Joseph Carson, jefe de seguridad de la compañía Thycotic.

Fuentes

Update Your Chrome Browser to Patch 2 New In-the-Wild 0-Day Exploits The Hacker News
Chrome and Chromium updated after yet another exploit is found in browser’s V8 JavaScript engine The Register
Google Patches More Under-Attack Chome Zero-days Security Week

Google parcha dos vulnerabilidades de día cero en una actualización de Chrome

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada