Pareja de errores de día cero de Google Chrome explotada activamente - Calendae | Informática, Electrónica, CMS, Ciberseguridad

Pareja de errores de día cero de Google Chrome explotada activamente

Hola de nuevo. Yo soy Eduardo Arroyo y hoy te voy a contar sobre Pareja de errores de día cero de Google Chrome explotada activamente

Pareja de errores de día cero de Google Chrome explotada activamente

Las vulnerabilidades de seguridad reducen al gigante de la web a los 10 días cero del navegador que se encontraron en lo que va de año.

Google ha corregido dos errores de seguridad de día cero que se explotan activamente en la naturaleza.

Como parte del último lanzamiento del canal estable del gigante de Internet (versión 93.0.4577.82 para Windows, Mac y Linux), corrigió 11 vulnerabilidades totales, todas calificadas como de alta gravedad. Los dos días cero se registran como CVE-2021-30632 y CVE-2021-30633.

«Google es consciente de que las vulnerabilidades de [these] existen en la naturaleza «, dijo la compañía en su breve aviso en el sitio web sobre la actualización, lanzado el lunes.

Google está limitando cualquier detalle técnico «hasta que la mayoría de los usuarios estén actualizados con una solución», dijo. Las vulnerabilidades se informaron de forma anónima, lo que impidió la recopilación de detalles por parte del investigador que las encontró. Esto es lo que sabemos:

  • CVE-2021-30632: Escritura fuera de límites en el motor JavaScript V8; Y
  • CVE-2021-30633: uso gratuito en la API IndexedDB.

Defectos de escritura fuera de los límites puede resultar en corrupción de datos, bloqueo o ejecución de código. Problemas de uso después del uso gratuito puede resultar en cualquier número de tipos de ataques, desde la corrupción de datos válidos hasta la ejecución de código arbitrario. Ambos errores tienen recompensas de recompensas de errores TBD asociadas y se informaron el 8 de septiembre.

V8 es el motor de código abierto, JavaScript de alto rendimiento y WebAssembly de Google para navegadores Chrome y basados ​​en Chromium. Traduce el código JavaScript en un código de máquina más eficiente en lugar de utilizar un intérprete, lo que acelera el navegador web. Dado que este componente vulnerable no es específico de Google Chrome, es una buena apuesta que otros navegadores también se vean afectados por el error.

Mientras tanto, IndexedDB permite a los usuarios almacenar de forma persistente grandes cantidades de datos estructurados del lado del cliente dentro de sus navegadores. La API es una interfaz de programación de aplicaciones JavaScript proporcionada por los navegadores web para administrar estas bases de datos NoSQL. Es un estándar mantenido por el World Wide Web Consortium.

«Los errores del navegador descubiertos por explotación en la naturaleza se encuentran entre las amenazas de seguridad más importantes», dijo John Bambenek, el principal cazador de amenazas de Netenrich, en un correo electrónico. “Ahora que han sido reparados, la explotación aumentará. Dicho esto, casi 20 años después y no hemos asegurado la navegación web, muestra que la rápida adopción de la tecnología continúa dejando a los usuarios expuestos a delincuentes y actores estatales. Todo el mundo quiere aprender a piratear, muy poca gente trabaja en defensa ”.

Los otros nueve errores que enfrenta Google son los siguientes:

  • CVE-2021-30625: uso gratuito en la API Select. Reportado por Marcin Towalski de Cisco Talos el 2021-08-06
  • CVE-2021-30626: Acceso a memoria fuera de límites en ANGLE. Reportado por Jeonghoon Shin de Theori el 2021-08-18
  • CVE-2021-30627: Escriba Confusion en el diseño Blink. Reportado por Aki Helin de OUSPG el 2021-09-01
  • CVE-2021-30628: Desbordamiento del búfer de pila en ANGLE. Reportado por Jaehun Jeong (@ n3sk) de Theori el 2021-08-18
  • CVE-2021-30629: utilizar más adelante de forma gratuita en permisos. Reportado por Weipeng Jiang (@Krace) del Equipo Codesafe de Legendsec en Qi’anxin Group el 26/08/2021
  • CVE-2021-30630: Implementación inapropiada en Blink. Reportado por SorryMybad (@ S0rryMybad) de Kunlun Lab el 2021-08-30
  • CVE-2021-30631: Escriba Confusion en el diseño Blink. Reportado por Atte Kettunen de OUSPG el 2021-09-06

Kevin Dunne, presidente de Pathlock, señaló que Google ya ha parcheado muchos días cero este año, ocho antes de los dos últimos, para ser exactos, y dijo que esperaba más.

«Hoy Google lanzó un parche por su diezmo [and ninth] El exploit de día cero del año «, dijo Dunne en un correo electrónico a los medios de comunicación.» Este hito destaca el énfasis que los atacantes están poniendo en los exploits del navegador, con Chrome convirtiéndose en un claro favorito, lo que permite una forma simplificada de acceder a millones de dispositivos independientemente de la sistema operativo.

«Esperamos ver exploits de día cero continuos en la naturaleza», agregó.

Los otros cero días descubiertos hasta ahora en 2021 son los siguientes, muchos de ellos en el motor V8:

  • CVE-2021-21148 – (febrero)
  • CVE-2021-21166 – (marzo)
  • CVE-2021-21193 – (marzo)
  • CVE-2021-21220 – (abril)
  • CVE-2021-21224 – (Abril, luego usado en ataques de Windows)
  • CVE-2021-30551 – (junio)
  • CVE-2021-30554 – (Junio)
  • CVE-2021-30563 – (Julio)

«Los esfuerzos de Google para corregir rápidamente estas vulnerabilidades son encomiables, ya que utilizan Google Chrome como software gratuito y, por lo tanto, son la única entidad que puede proporcionar estas actualizaciones», escribió Dunne. «Google se compromete a ofrecer Chrome como un navegador gratuito, ya que es un punto de entrada clave para otras empresas como la Búsqueda de Google y Google Workspace».

La noticia llega cuando Apple se apresuró a arreglar un exploit de día cero sin clics dirigido a iMessage. Según los investigadores, supuestamente se utilizó para espiar ilegalmente a activistas de Bahrein con el software espía Pegasus de NSO Group.

También se espera que Microsoft lance hoy su serie de actualizaciones mensuales Patch Tuesday, por lo que veremos si todavía hay más exploits de día cero de los que preocuparse.

Es hora de convertir la caza de amenazas en una búsqueda de adversarios. PALO Threatpost y Cybersixgill para Caza de amenazas para capturar oponentes, no solo para detener ataques y obtenga una visita guiada por la web oscura y aprenda a rastrear a los actores de amenazas antes de su próximo ataque. SUSCRÍBASE AHORA para la discusión EN VIVO el 22 de septiembre a las 2 pm EST con Sumukh Tendulkar y Edan Cohen de Cybersixgill, junto con el investigador independiente y vCISO Chris Roberts y la presentadora de Threatpost Becky Bracken.

.

No te olvides compartir en en tu Twitter y Facebook para que tus amigos lo sepan

??? ? ? ???

Comparte

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *