Google corrige un error de día cero explotado activamente en el navegador Chrome - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Google corrige un error de día cero explotado activamente en el navegador Chrome

Hola y mil gracias por leerme. Te escribe Eduardo Arroyo y esta vez vamos a hablar sobre Google corrige un error de día cero explotado activamente en el navegador Chrome

Google corrige un error de día cero explotado activamente en el navegador Chrome

La vulnerabilidad de corrupción de memoria existe en la biblioteca de representación de fuentes FreeType del navegador.

Google ha publicado un archivo actualizar a su navegador Chrome, que corrige una vulnerabilidad de día cero en la biblioteca de representación de fuentes FreeType del software que se explotó activamente en la naturaleza.

El investigador de seguridad Sergei Glazunov de Proyecto cero de Google descubierto el bicho que se clasifica como un tipo de defecto de corrupción de memoria llamado desbordamiento del búfer de pila en FreeType. Glazunov informó a Google de la vulnerabilidad el lunes. Project Zero es un equipo de seguridad interno de la empresa cuyo objetivo es encontrar vulnerabilidades de día cero.

El martes, Google ya había lanzado una actualización de canal estable, Chrome versión 86.0.4240.111, que incluye cinco correcciones de seguridad para Windows, Mac y Linux, incluida una corrección de día cero, que se registra como CVE-2020-15999. y está clasificado como de alto riesgo.

«Google está al tanto de los informes de que hay un exploit para CVE-2020-15999», escribió Prudhvikumar Bommana del equipo de Google Chrome en un entrada en el blog anunciando la actualización el martes. Google no reveló más detalles sobre los ataques activos observados por los investigadores.

Andrew R. Whalley, miembro del equipo de seguridad de Chrome, felicitó a su equipo Gorjeo para la respuesta «superrápida» de día cero.

Sin embargo, Ben Hawkes, líder técnico del equipo de Project Zero, advirtió que si bien los investigadores de Google solo observaron el exploit de Chrome, es posible que otras implementaciones de FreeType también sean vulnerables, ya que Google fue tan rápido en su respuesta a la insecto. Dirigió a los usuarios a un archivo ajustar Glazunov publicó en la página del proyecto FreeType y los instó a actualizar otro software potencialmente vulnerable.

«La solución también se encuentra en la versión estable actual de FreeType 2.10.4», Hawkes tuiteó.

Mientras tanto, los investigadores de seguridad recurrieron a Twitter para alentar a las personas a actualizar inmediatamente sus navegadores Chrome para evitar ser víctimas de atacantes que buscan explotar la falla.

«¡Asegúrate de actualizar tu Chrome hoy! (¡Reinícialo!)» tuiteó Sam Stepanyan, consultor de seguridad de aplicaciones con sede en Londres.

Además del día cero FreeType, Google corrigió otros cuatro errores, tres de alto riesgo y uno de riesgo medio, en la actualización de Chrome lanzada esta semana.

Las vulnerabilidades de alto riesgo son: CVE-2020-16000, descrita como «implementación inapropiada en Blink»; CVE-2020-16001, descrito como «gratuito después de su uso en los medios»; y CVE-2020-16002, descrito como «gratuito después de su uso en PDFium», según la publicación del blog. El error de riesgo medio se rastrea como CVE-2020-16003, descrito como «uso después de la impresión gratuita», escribió Bommana.

Google ha solucionado tres vulnerabilidades de día cero en su navegador Chrome hasta ahora en los últimos 12 meses. Antes de la divulgación de FreeType de esta semana, la primera fue una vulnerabilidad crítica de ejecución remota de código corregida la noche de Halloween y monitoreada como CVE-2019-13720, y la segunda fue un tipo de error de confusión de memoria. rastreado como CVE-2020-6418 que se corrigió en febrero.

.

Puedes compartir en en tu Twitter y Facebook para que tus amigos lo disfruten

??? ? ? ???

Comparte