Google elimina dos errores de Chrome más bajo ataques activos


Las actualizaciones vienen poco después de las noticias de ataques que explotan otro día cero en Chrome junto con una falla de Windows previamente desconocida.

Dos semanas despues parchear una vulnerabilidad explotada activamente que afecta a Chrome para escritorio, Google está solucionando otro mistake de día cero en la versión del navegador para Windows, macOS y Linux. En cuestión de horas, Google también lanzó una actualización de Chrome para Android para tapar otra laguna de seguridad que se está explotando en la naturaleza.

«Google tiene conocimiento de los informes de que un exploit para CVE-2020-16009 existe en la naturaleza » dijo el gigante tecnológico sobre la falla recientemente revelada que se deriva de una implementación inapropiada en el motor de JavaScript V8 y afecta las versiones de escritorio del navegador.

El error, clasificado como de alta gravedad, fue descubierto por investigadores del Danger Assessment Group y Challenge Zero de Google. Los detalles sobre la vulnerabilidad son muy escasos debido a la política de Google que establece claramente que «el acceso a los detalles de los errores y los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución».

Según la base de datos nacional de vulnerabilidades, la falla «podría permitir a un atacante aprovechar la corrupción del montón a través de una página HTML diseñada».

LECTURA RELACIONADA: Términos de seguridad explicados: ¿Qué significa Zero Day?

Los usuarios harían bien en actualizar sus navegadores a la última versión (86..4240.183) lo antes posible. Si tiene habilitadas las actualizaciones automáticas, su navegador debería actualizarse solo. De lo contrario, tendrá que hacerlo manualmente navegando a la sección Acerca de Google Chrome, que se puede encontrar en Ayuda en el menú lateral.

La actualización trae correcciones para un whole de 10 vulnerabilidades, y Google enumera específicamente siete fallas de alto riesgo donde las correcciones fueron aportadas por investigadores externos.

La noticia llega inmediatamente después de otra divulgación de Google sobre un día cero en Windows que se descubrió que se explotó en conjunto con el día cero de Chrome revelado hace dos semanas.

Error de Android

Mientras tanto, Google también confirmó que la falla que afecta a Chrome para Android también ha sido explotada activamente por los atacantes. Indexado como CVE-2020-16010 y clasificada como de alta gravedad, la vulnerabilidad se debe a un desbordamiento del búfer de pila en la interfaz de usuario (UI) de Chrome para Android. Podría permitir que un actor de amenazas remoto que haya comprometido el proceso del renderizador ejecute un escape de la zona de pruebas utilizando una página HTML diseñada.

No debe retrasar la actualización a la última versión de Chrome para Android (86..4240.185) una vez que la actualización esté disponible.





Enlace a la noticia unique