¡Actualiza Chrome ahora! Los parches de Google explotaron activamente el día cero

 

Google ha lanzado una actualización que incluye dos correcciones de seguridad. Una de estas correcciones de seguridad es para un día cero sobre el cual Google dice que es consciente de que existe un exploit para esta vulnerabilidad en la naturaleza.

Cómo protegerse

Si eres usuario de Chrome en Windows, Mac o Linux, debes actualizar lo antes posible. Los usuarios de Android también encontrarán una actualización en espera.

La forma más fácil de actualizar Chrome es permitir que se actualice automáticamente, lo que básicamente utiliza el mismo método que se describe a continuación, pero no requiere su atención. Pero puede terminar quedándose atrás si nunca cierra el navegador o si algo sale mal, como una extensión que le impide actualizar el navegador.

Por lo tanto, no está de más comprobar de vez en cuando. Y ahora sería un buen momento, dada la gravedad de las vulnerabilidades en este lote. Mi método preferido es hacer que Chrome abra la página chrome://settings/help la que también puede encontrar haciendo clic en Configuración > Acerca de Chrome.

Si hay una actualización disponible, Chrome te lo notificará y comenzará a descargarla. Luego, todo lo que tiene que hacer es reiniciar el navegador para que se complete la actualización.

captura de pantalla de Chrome actualizadoChrome está actualizado

Después de la actualización, la versión debe ser 114.0.5735.106 para Mac y Linux, y 114.0.5735.110 para Windows o posterior.

Día cero

Google nunca da mucha información sobre vulnerabilidades, por razones obvias. El acceso a los detalles de errores y enlaces puede mantenerse restringido hasta que la mayoría de los usuarios estén actualizados con una corrección. Sin embargo, desde la página de actualización podemos aprender algunas cosas.

La vulnerabilidad fue reportada por Clément Lecigne del Grupo de Análisis de Amenazas de Google. Esto podría indicar que Google encontró esta vulnerabilidad mientras investigaba un ataque activo, que coincide con el hecho de que existe un exploit para la vulnerabilidad en la naturaleza.

La base de datos de vulnerabilidades y exposiciones comunes (CVE) enumera las fallas de seguridad informática divulgadas públicamente. El CVE para el día cero es:

CVE-2023-3079: una confusión de tipos en V8 permitió a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada.

Las vulnerabilidades de confusión de tipo son fallas de programación que ocurren cuando un fragmento de código no comprueba el tipo de objeto que se le pasa antes de usarlo. La confusión de tipos puede permitir que un atacante introduzca punteros de función o datos en el fragmento de código incorrecto. En algunos casos, esto puede conducir a la ejecución de código.

En otros casos, la vulnerabilidad de confusión de tipos conduce a una escritura arbitraria del montón o a un rociado del montón. La pulverización en pilas es un método utilizado normalmente en exploits que coloca grandes cantidades de código en una ubicación de memoria que el atacante espera que se lea. Por lo general, estos bits de código apuntan al inicio del código real que el exploit quiere ejecutar para comprometer el sistema que está bajo ataque.

En el corazón de cada navegador web moderno se encuentra un intérprete de JavaScript, un componente que hace gran parte del trabajo pesado para las aplicaciones web interactivas. En Chrome, ese intérprete es V8.

Un atacante puede aprovechar esta vulnerabilidad mediante un fragmento especialmente diseñado del lenguaje de marcado de hipertexto (HTML). Necesita la interacción del usuario, lo que podría ser más fácil de lo que parece. HTML es el lenguaje de marcado estándar para documentos diseñados para mostrarse en un navegador web y estos documentos (páginas web) pueden contener JavaScript. Potencialmente, esto significa que al abrir el sitio web incorrecto, que contiene un JavaScript especialmente diseñado, el navegador podría verse comprometido.

Los usuarios de otros navegadores basados en Chromium, como Edge, también deben estar atentos a las actualizaciones, ya que es probable que esta afecte a todos los navegadores basados en Chromium.

Comentarios

Publicar un comentario

Entradas populares de este blog

La Niña es la fase fría del fenómeno meteorológico conocido como El Niño Oscilación Sur

Imagen
  “Los océanos entran en territorio desconocido”. Así alertó el meteorólogo J.J. González Alemán sobre el récord de temperatura del agua del mar medido por los satélites el 8 de abril. La media oceánica escaló hasta los 21ºC, superando el anterior récord, marcado hace solo siete años, en 2016. Se trata del agua marina más caliente desde que hay mediciones satelitales, es decir, al menos en los últimos 45 años. La mezcla del calentamiento global provocado por los gases de efecto invernadero y el fin del fenómeno de La Niña –que refresca las aguas del Pacífico ecuatorial– hizo saltar los registros. (ENSO). Cuando se producen vientos alisios fuertes desde el oeste, la temperatura en las aguas del Pacífico ecuatorial descienden y una vez frena ese régimen, la temperatura se eleva y comienza una fase de El Niño. “La Niña había estado camuflando estos últimos años el calentamiento del planeta”, explica en España el portavoz de la Agencia Estatal de Meteorología, Rubén del Campo. La Niña es u
Leer más

Alerta Naranja y amarilla

Imagen
  Alerta:  Naranja Ver detalle Fenómeno:   Vientos fuertes y persistentes Probabilidad:   > 75% Comienzo:   12/07/2023 a las 19:45Hs Actualización:   13/07/2023 a las 03:00Hs Descripción:   Depresión atmosférica se profundiza sobre el noreste del territorio nacional, generando vientos sostenidos que se irán incrementando del sector S, entre 60-70 km/h con rachas de 80-100 km/h y ocasionalmente superiores. Se continuará monitoreando la situación y se informará ante eventuales cambios. Alerta:  Amarilla Ver detalle Fenómeno:   Vientos fuertes y persistentes Probabilidad:   > 75% Comienzo:   12/07/2023 a las 19:45Hs Actualización:   13/07/2023 a las 03:00Hs Descripción:   Depresión atmosférica se profundiza sobre el noreste del territorio nacional, generando vientos sostenidos que se irán incrementando del sector S, entre 30-50 km/h con rachas de 60-80 km/h y ocasionalmente superiores. Se continuará monitoreando la situación y se informará ante eventuales cambios.
Leer más