martes, 9 de febrero de 2021

Se detecta un nuevo Zero-Day en el navegador Chrome de Google

Nuevo Zero-Day en Google Chrome


      Google ha presentado una nueva actualización de su navegador web Chrome para escritorio en la que ofrece un parche de seguridad para una vulnerabilidad del tipo Zero-Day que está siendo explotada de forma activa. La empresa ha lanzado la nueva versión 88.0.4324.150 para los sitemas operativos Microsoft windows, Apple MacOS y Linux que soluciona el CVE-2021-21148 fallo de desbordamiento de buffer en el motor de renderizado V8 Javascript que permitiría la ejecución de código arbitrario.

Realmente la vulnerabilidad afecta a los navegadores basados en el navegador Chromium con versión anterior a la 88.0.4324.150 por lo que puede afectar a opera, vivaldi, chromium y edge por lo que es muy importante actualizarlos a sus últimas versiones. En estos momentos opera con su versión 74.0.3911.75-1 parece que aún no tiene parcheado el error.

Como es conocido, Google suele limitar los detalles de la vulnerabilidad hasta que la mayoría de los usuarios estén actualizados con la solución, el desarrollo se produce semanas después de que Google y Microsoft revelaran los ataques llevados a cabo por delincuentes informáticos norcoreanos contra investigadores de seguridad con una elaborada campaña de ingeniería social para instalar un puerta trasera en Windows. Los ciberdelincuentes crearon perfiles falsos en twitter y un proyecto en visual studio para invitar a los expertos en ciberseguridad a participar en una investigación.

Con algunos investigadores infectados simplemente por visitar un blog de investigación falso en sistemas completamente parcheados que ejecutan Windows 10 y el navegador Chrome, Microsoft, en un informe publicado el 28 de enero, había insinuado que los atacantes probablemente aprovecharon un Zero-Day de Chrome para comprometer los sistemas.

Aunque no está claro si CVE-2021-21148 se usó en estos ataques, el momento en que se produjeron dichas revelaciones y el hecho de que el aviso por parte de Google apareció un día después de que Buelens informara el problema nos lleva a pensar en la relación existente.

No hay comentarios:

Publicar un comentario