Google parchea dos nuevas fallas de día cero en Chrome


Las últimas tres semanas han visto una gran cantidad de parches para errores de día cero en program de Google, Apple y Microsoft.

Google ha parcheado dos nuevas vulnerabilidades de día cero en su navegador internet Chrome, elevando a cinco el número de correcciones de errores explotados activamente en el navegador durante las últimas tres semanas.

«Google está al tanto de los informes de que existen exploits para CVE-2020-16013 y CVE-2020-16017 en la naturaleza», dijo Google sobre las vulnerabilidades que afectan a las versiones de Home windows, macOS y Linux del navegador. Los detalles sobre las lagunas de seguridad siguen siendo escasos, aunque el gigante tecnológico reveló que ambos están clasificados como de alta gravedad y fueron informados por investigadores externos que desean permanecer en el anonimato.

Uno de los defectos (CVE-2020-16013) es causado por una implementación inapropiada en el motor JavaScript V8, mientras que el otro agujero de seguridad (CVE-2020-16017) es una falla de corrupción de memoria de uso posterior a la liberación ubicada en Aislamiento del sitio, una función de seguridad de Chrome que aísla los sitios net en entornos sandbox, limitando su interacción entre ellos.

Se recomienda a los usuarios que actualicen sus navegadores a la última versión (86..4240.198) tan pronto como sea posible. Si tiene habilitadas las actualizaciones automáticas, su navegador debería actualizarse solo. De lo contrario, tendrá que hacerlo manualmente navegando a la sección Acerca de Google Chrome, que se puede encontrar en Ayuda en el menú lateral.

Una cosecha abundante de parches

Ha sido una temporada inusualmente ocupada para las divulgaciones de día cero. En octubre, Google parcheó un mistake de día cero explotado activamente indexado como CVE-2020-15999 y afecta a FreeType, una biblioteca de software program ampliamente utilizada que también es un componente de Chrome. La falla estaba siendo explotada como parte de una cadena con un Mistake de día cero de Home windows rastreado como CVE-2020-17087 y residiendo en el controlador de criptografía del núcleo, que el gigante de Redmond arreglado como parte del martes de parches esta semana.

A principios de este mes, Google publicó otra actualización de Chrome, esta vez corrigiendo dos errores de día cero. El primero, CVE-2020-16009, se encontró que afectaba la versión de escritorio de su navegador y también fue causado por una implementación inapropiada en V8. El segundo error, indexado como CVE-2020-16010, afectó a la versión de Android del navegador y se debió a un desbordamiento del búfer de pila en la interfaz de usuario.

En unos días, Apple lanzó sus propias actualizaciones para abordar tres errores en iOS bajo ataque activo. Estas vulnerabilidades, junto con las anteriores en Chrome y Home windows, fueron descubiertas por el equipo de Challenge Zero de Google.





Enlace a la noticia first