¡Actualiza Chrome ahora! Los parches de Google explotaron activamente el día cero
Google ha lanzado una actualización que incluye dos correcciones de seguridad. Una de estas correcciones de seguridad es para un día cero sobre el cual Google dice que es consciente de que existe un exploit para esta vulnerabilidad en la naturaleza.
Cómo protegerse
Si eres usuario de Chrome en Windows, Mac o Linux, debes actualizar lo antes posible. Los usuarios de Android también encontrarán una actualización en espera.
La forma más fácil de actualizar Chrome es permitir que se actualice automáticamente, lo que básicamente utiliza el mismo método que se describe a continuación, pero no requiere su atención. Pero puede terminar quedándose atrás si nunca cierra el navegador o si algo sale mal, como una extensión que le impide actualizar el navegador.
Por lo tanto, no está de más comprobar de vez en cuando. Y ahora sería un buen momento, dada la gravedad de las vulnerabilidades en este lote. Mi método preferido es hacer que Chrome abra la página chrome://settings/help la que también puede encontrar haciendo clic en Configuración > Acerca de Chrome.
Si hay una actualización disponible, Chrome te lo notificará y comenzará a descargarla. Luego, todo lo que tiene que hacer es reiniciar el navegador para que se complete la actualización.
Chrome está actualizado
Después de la actualización, la versión debe ser 114.0.5735.106 para Mac y Linux, y 114.0.5735.110 para Windows o posterior.
Día cero
Google nunca da mucha información sobre vulnerabilidades, por razones obvias. El acceso a los detalles de errores y enlaces puede mantenerse restringido hasta que la mayoría de los usuarios estén actualizados con una corrección. Sin embargo, desde la página de actualización podemos aprender algunas cosas.
La vulnerabilidad fue reportada por Clément Lecigne del Grupo de Análisis de Amenazas de Google. Esto podría indicar que Google encontró esta vulnerabilidad mientras investigaba un ataque activo, que coincide con el hecho de que existe un exploit para la vulnerabilidad en la naturaleza.
La base de datos de vulnerabilidades y exposiciones comunes (CVE) enumera las fallas de seguridad informática divulgadas públicamente. El CVE para el día cero es:
CVE-2023-3079: una confusión de tipos en V8 permitió a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada.
Las vulnerabilidades de confusión de tipo son fallas de programación que ocurren cuando un fragmento de código no comprueba el tipo de objeto que se le pasa antes de usarlo. La confusión de tipos puede permitir que un atacante introduzca punteros de función o datos en el fragmento de código incorrecto. En algunos casos, esto puede conducir a la ejecución de código.
En otros casos, la vulnerabilidad de confusión de tipos conduce a una escritura arbitraria del montón o a un rociado del montón. La pulverización en pilas es un método utilizado normalmente en exploits que coloca grandes cantidades de código en una ubicación de memoria que el atacante espera que se lea. Por lo general, estos bits de código apuntan al inicio del código real que el exploit quiere ejecutar para comprometer el sistema que está bajo ataque.
En el corazón de cada navegador web moderno se encuentra un intérprete de JavaScript, un componente que hace gran parte del trabajo pesado para las aplicaciones web interactivas. En Chrome, ese intérprete es V8.
Un atacante puede aprovechar esta vulnerabilidad mediante un fragmento especialmente diseñado del lenguaje de marcado de hipertexto (HTML). Necesita la interacción del usuario, lo que podría ser más fácil de lo que parece. HTML es el lenguaje de marcado estándar para documentos diseñados para mostrarse en un navegador web y estos documentos (páginas web) pueden contener JavaScript. Potencialmente, esto significa que al abrir el sitio web incorrecto, que contiene un JavaScript especialmente diseñado, el navegador podría verse comprometido.
Los usuarios de otros navegadores basados en Chromium, como Edge, también deben estar atentos a las actualizaciones, ya que es probable que esta afecte a todos los navegadores basados en Chromium.
Comentarios
Publicar un comentario