Nueva vulnerabilidad de día cero encontrada en Google Chrome

    Nueva vulnerabilidad de día cero encontrada en Google Chrome

    Nueva vulnerabilidad de día cero encontrada en Google Chrome

    El mes pasado, el investigador Clemente Lecigne, encargado de detectar las nuevas amenazas a Google, ha descubierto y reportado una vulnerabilidad particularmente peligrosa que podría, al parecer, permitir a los atacantes llevar a cabo Ataques ciberneticos de forma remota ejecutando, de forma totalmente arbitraria, el código y, en consecuencia, tomando el control total del sistema.



    La vulnerabilidad descubierta en Google Chrome: que es y como funciona

    La vulnerabilidad en cuestión, a la que se le dio su nombre CVE-2019-5786, apunta al navegador popular en todos los sistemas operativos principales, incluidos Microsoft Windows, Apple macOS y Linux. Aparentemente, esta sería una vulnerabilidad de tipo utilizar después de liberación presente en el componente FileReader de Chrome, pero hay más: el propio Google advirtió que la vulnerabilidad RCE de día cero ya estaría en uso activo por algunos atacantes que apuntan directamente a usuarios individuales.

    "El acceso a los detalles y varios enlaces del error estará restringido hasta que la mayoría de los usuarios hayan actualizado el navegador con las correcciones necesarias", señala el equipo de seguridad de Chrome, "adoptaremos otras restricciones en la biblioteca de terceros en la que Dependen de proyectos similares que, sin embargo, aún no han sido arreglados ".

    Por ejemplo, FileReader es una API estándar especialmente diseñada para permitir que las aplicaciones web lean el contenido de los archivos (o datos brutos) almacenados en la computadora del usuario, usando 'Archivo' o 'Blob' para especificar los archivos o datos que se leerán.


    El tipo de vulnerabilidad utilizar después de liberación pertenece a una clase de error corrupción que permite a personas malintencionadas modificar los datos en la memoria, así como acceder al sistema, si ni siquiera al software, de manera progresiva.


    La vulnerabilidad use-after-free presente en el componente FileReader Google Chrome, de hecho, otorga a los ciberdelincuentes acceso privilegiado a Chrome, lo que les permite pasar por alto los sistemas de seguridad y llegar directamente al sistema.

    Todo lo que un hacker tiene que hacer para explotar esta vulnerabilidad particular de Google Chrome es engañar a las víctimas inconscientes, incitándoles a abrirlos o redirigiéndolos a un sitio web que no requiere ningún tipo de interacción.


    Vulnerabilidad de Chrome: Google ya tiene el remedio

    Se trata, por tanto, de una vulnerabilidad insidiosa, que potencialmente puede afectar a cualquier sistema operativo. Sin embargo, Google no está mirando, por lo que ya lanzó el parche para ofrecer a sus usuarios, con la actualización de Chrome 72.0.3626.121 para Windows, Mac y Linux: debería llegar en los próximos días, pero algunos ya lo han tenido. .


    Andrea Mori

    Swascan Gerente de Marketing

    Nueva vulnerabilidad de día cero encontrada en Google Chrome

    Añade un comentario de Nueva vulnerabilidad de día cero encontrada en Google Chrome
    ¡Comentario enviado con éxito! Lo revisaremos en las próximas horas.