El equipo de seguridad informática de Google acaba de lanzar una actualización de seguridad para el navegador Chrome con el objetivo de corregir tres fallas críticas, incluyendo una vulnerabilidad día cero de la cual ya existen reportes de explotación activa en escenarios reales. Los detalles técnicos sobre estas fallas y su explotación aún no son revelados; las consecuencias del ataque para los usuarios también son información reservada.

Aunque son realmente escasos los detalles confirmados, la comunidad de la seguridad informática ha podido saber sobre una serie de ataques detectados el pasado 18 de febrero por el investigador Clement Lecigne, miembro del Grupo de Análisis de Amenazas de Google. Este es un equipo especial que investiga y rastrea las actividades de los más peligrosos grupos de hackers.

clem1@_clem1

Found and analyzed with a lot of help from @5aelo and Sergei. https://twitter.com/anttitikkanen/status/1232070933063577600 

Antti Tikkanen@anttitikkanen

Latest Chrome update patches CVE-2020-6418, 0day found in the wild by @_clem1 : https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_24.html?m=1 

Ver imagen en Twitter
16 personas están hablando de esto

Los encargados del navegador incluyeron los parches para corregir la vulnerabilidad día cero no especificada en el lanzamiento de la versión 80.0.3987.122 de Chrome. Los parches de seguridad están disponibles para sistemas Windows, Linux y Mac. Los sistemas operativos iOS, Android y Chrome OS aún no han sido actualizados.

Esta falla ha sido identificada como CVE-2020-6418, y sólo se sabe que los miembros del equipo de Google la describen como una “confusión de tipos en V8”. Este es un componente de Chrome responsable de procesar el código JavaScript. En seguridad informática, la confusión de tipos se refiere a errores de codificación durante los cuales una app inicializa las operaciones de ejecución de datos empleando la entrada de un tipo específico, pero es engañada para tratar la entrada como si fuera de un tipo diferente.

Esta confusión conduce a errores lógicos en la memoria de la aplicación, generando las condiciones propicias para la intervención de un actor de amenazas, que tratará de ejecutar código malicioso sin restricciones dentro de la aplicación objetivo.

Acorde al Instituto Internacional de Seguridad Cibernética (IICS), esta es la tercera vulnerabilidad día cero en Chrome explotada en escenarios reales en el último año. Anteriormente, Google lanzó parches de seguridad para corregir dos fallas día cero en el navegador:

  • CVE-2019-5786, en Chrome 72.0.3626.121
  • CVE-2019-13720, en Chrome 78.0.3904.8

Se espera que la compañía revele mayores detalles en cuanto el peligro de explotación haya pasado; cabe mencionar que no existen reportes de explotación de las otras dos fallas de seguridad corregidas en la más reciente versión de Chrome.

Deja un comentario