La última actualización de Google Chrome (la 86.0.4240.111, lanzada hace unas horas) parcha cinco agujeros de seguridad, incluyendo una vulnerabilidad de ‘día cero‘. Si eres usuario de este navegador, deberías actualizarlo lo antes posible.
Los ataques de día cero o ‘zero-day’ son aquellos que permiten ejecutar código malicioso aprovechando una vulnerabilidad desconocida tanto para los usuarios como para el fabricante. Un desconocimiento que, en este caso, ya ha permitido el secuestro de varios equipos por parte de los ciberdelincuentes que descubrieron en primer lugar dicha vulnerabilidad.
Identificada como CVE-2020-15999 , la vulnerabilidad explotada activamente es un tipo de falla de corrupción de memoria llamada desbordamiento de búfer de pila en Freetype, una popular biblioteca de desarrollo de software de código abierto para renderizar fuentes que viene empaquetada con Chrome.
La vulnerabilidad fue descubierta e informada por el investigador de seguridad Sergei Glazunov de Google Project Zero el 19 de octubre y está sujeta a un plazo de divulgación pública de siete días debido a que la falla está bajo explotación activa.
Sin revelar detalles técnicos de la vulnerabilidad, el líder técnico del Proyecto Cero de Google, Ben Hawkes, advirtió en Twitter que si bien el equipo solo ha detectado un exploit dirigido a los usuarios de Chrome, es posible que otros proyectos que usan FreeType también sean vulnerables y se les recomienda implementar. la corrección incluida en FreeType versión 2.10.4.
Además de la vulnerabilidad de día cero de FreeType, Google también corrigió otras cuatro fallas en la última actualización de Chrome, tres de las cuales son vulnerabilidades de alto riesgo: un error de implementación inapropiado en Blink, un uso después de un error gratuito en los medios de Chrome y un uso después de un error gratuito en PDFium, y un uso de riesgo medio después de una edición gratuita en la función de impresión del navegador.
Aunque el navegador web Chrome notifica automáticamente a los usuarios sobre la última versión disponible, se recomienda a los usuarios que activen manualmente el proceso de actualización yendo a “Ayuda → Acerca de Google Chrome” en el menú.
Conoce nuestro servicio web de identificación de riesgos de IT y vulnerabilidades informáticas –SIRIT– que incluye diagnostico a computadores, aplicaciones y personas.
