Los errores de Chrome de alta gravedad permiten piratear el navegador - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Los errores de Chrome de alta gravedad permiten piratear el navegador

Hola, ¿qué tal colega?. Te habla Eduardo Arroyo y esta vez hablaremos sobre Los errores de Chrome de alta gravedad permiten piratear el navegador

Los errores de Chrome de alta gravedad permiten piratear el navegador

Las versiones de escritorio del navegador recibieron un total de ocho correcciones, la mitad de las cuales fueron de alta gravedad.

Google ha actualizado su navegador web Chrome, solucionando cuatro errores con una calificación de gravedad «alta» y ocho en general. Tres son fallas inútiles, que podrían permitir que un adversario genere un error en la memoria del navegador, abriendo la puerta a un pirateo del navegador y comprometiendo la computadora host.

Viernes, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) emitió un boletín de seguridad instando a los usuarios y administradores de infosec a aplicar la actualización. La agencia advirtió que las vulnerabilidades podrían ser utilizadas por un atacante «para tomar el control de un sistema afectado».

Según el boletín de seguridad de diciembre de Google, las versiones anteriores de Windows, macOS y Linux del navegador de escritorio Chrome son vulnerables a los ataques. Una versión actualizada 87.0.4280.88 de Chrome corrige los errores y «se implementará en los próximos días / semanas», Google escribió.

Para actualizar manualmente el navegador Chrome, visite el menú desplegable Personalización de Chrome en la parte superior derecha del cliente. Desde ese menú, seleccione «Ayuda» y luego «Acerca de Google Chrome». Abrir ese elemento de menú activa automáticamente Chrome para buscar actualizaciones.

Los detalles relacionados con cada uno de los errores se están ocultando en este momento, dijo Google, «hasta que la mayoría de los usuarios se actualicen con una solución». También señaló que cuando y si existen errores en las bibliotecas de códigos de terceros utilizadas en otros dispositivos o plataformas, los detalles técnicos de los errores serán limitados.

Tres errores de alta gravedad incluyen elementos no utilizados que afectan la memoria relacionados con el portapapeles, los medios y las extensiones de Chrome. Los errores se rastrean como CVE-2020-16037, CVE-2020-16038 y CVE-2020-16039.

El cuarto error de alta gravedad (CVE-2020-16040) afecta al motor de código abierto, JavaScript de alto rendimiento y WebAssembly de Google, llamado V8. El error se identifica como un defecto de validación de datos insuficientes, que en algunos casos abre los objetivos a ataques de secuencias de comandos entre sitios.

El motor JavaScript V8 de Google también recibió un segundo parche este mes, uno de los dos errores de gravedad media informados en diciembre. Este problema, registrado como CVE-2020-16042, se identifica como un error de «uso no inicializado» que afecta a V8. El boletín de Google no aclara la naturaleza exacta del defecto. Pero los investigadores de ciberseguridad han descrito este tipo de errores no inicializados como «en gran medida descuidados» y, a menudo, «considerados errores de memoria insignificantes».

«[These] son en realidad un vector de ataque crítico que los piratas informáticos pueden explotar de manera confiable para lanzar ataques de escalada de privilegios en el kernel de Linux «, según Publicación de investigación de 2017 del Instituto de Tecnología de Georgia.

Un segundo error de gravedad media (CVE-2020-16041) es una vulnerabilidad de «lectura fuera de los límites en la red». Esto podría permitir que un oponente acceda incorrectamente a los objetos en la memoria. Incluso si los detalles técnicos del CVE están ocultos, este tipo de vulnerabilidad podría permitir que un adversario no autenticado envíe un mensaje no válido al software vulnerable. Debido a una validación insuficiente del mensaje, el programa objetivo puede verse obligado a bloquearse.

Google reconoció a varios investigadores de seguridad que ayudaron a identificar los errores este mes. Se agradeció a Ryoya Tsukasaki por encontrar el error use-after-free (CVE-2020-16037) en el portapapeles de Chrome, lo que le valió al investigador una recompensa de $ 5,000. Khalil Zhani, Lucas Pinheiro, Sergei Glazunov, André Bargull y Mark Brand también han sido reconocidos por sus esfuerzos de caza de insectos.

.

Puedes compartir en una historia de tu Instagram para que tus amigos lo lean

??? ? ? ???

Comparte