Las actualizaciones de Chrome y Firefox corrigen errores de seguridad graves


La explotación exitosa de algunas de estas fallas podría permitir a los atacantes tomar el management de los sistemas vulnerables.

Google y Mozilla instan a los usuarios a parchear vulnerabilidades graves en sus respectivos navegadores net, Chrome y Firefox, que podrían explotarse para permitir que los actores de amenazas se apoderen de los sistemas de los usuarios. Las correcciones de seguridad se implementarán en Windows, Mac y Linux durante los próximos días. Es importante destacar que ninguno de los defectos ha sido detectado como abusado en la naturaleza.

Cromo

El nuevo establo lanzamiento de Chrome, 87..4280.141, trae 16 arreglos de seguridad y aunque el gigante de la tecnología no revelará los detalles de todos ellos hasta que la mayoría de su base de usuarios haya recibido las actualizaciones, sí destacó los parches para 13 vulnerabilidades que fueron reportados por investigadores externos.

Doce defectos se clasificaron como de alto riesgo, mientras que se determinó que uno era de gravedad media. La mayoría de las fallas de alta gravedad son errores de uso después de la liberación, es decir, fallas de corrupción de memoria, que residen en varios componentes de Chromium. Podrían explotarse si un usuario visitara o fuera redirigido a una página internet especialmente diseñada para lograr la ejecución remota de código en el contexto del navegador, señaló el Centro de seguridad de Net.

Google pagó más de 110.000 dólares a los investigadores de seguridad por descubrir y reportar las vulnerabilidades.

La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió un aviso de seguridad instando a los usuarios y administradores del sistema a actualizar el navegador: “Google ha lanzado la versión 87..4280.141 de Chrome para Windows, Mac y Linux. Esta versión corrige las vulnerabilidades que un atacante podría aprovechar para tomar el command de un sistema afectado «.

Firefox

Mientras tanto, Mozilla lanzó una actualización de seguridad para abordar una laguna de seguridad de calificación crítica que se rastrea como CVE-2020-16044 y afecta a las versiones del navegador anteriores a Firefox 84..2, Firefox para Android 84.1.3 y Firefox ESR 78.6.1.

“Un par malintencionado podría haber modificado un fragmento de COOKIE-ECHO en un paquete SCTP de una manera que potencialmente resultó en un uso después de libre. Suponemos que con suficiente esfuerzo podría haber sido explotado para ejecutar código arbitrario ”, dijo Mozilla al describir el vector de ataque.

El Protocolo de transmisión de control de flujo (SCTP) se utiliza para transportar múltiples flujos de datos al mismo tiempo entre dos puntos finales que están conectados a la misma red. La falla en Firefox reside en cómo el protocolo maneja los datos de las cookies.

CISA también tomó nota de esta vulnerabilidad y emitió una consultivo instando tanto a los usuarios como a los administradores a actualizar su program para proteger sus sistemas de posibles ataques.

De hecho, le recomendamos encarecidamente que actualice los navegadores a sus respectivas últimas versiones tan pronto como sea posible. Puede descargar la última versión de Chrome aquí y Firefox aquí. Si tiene habilitadas las actualizaciones automáticas, sus navegadores deberían actualizarse por sí mismos.





Enlace a la noticia unique