Actualizaciones de Chrome y Firefox corrigen graves fallos de seguridad | WeLiveSecurity

Actualizaciones de Chrome y Firefox corrigen graves fallos de seguridad

La exitosa explotación de algunos de estos fallos podría permitir a los atacantes tomar el control de los sistemas vulnerables.

La exitosa explotación de algunos de estos fallos podría permitir a los atacantes tomar el control de los sistemas vulnerables.

Google y Mozilla instan a los usuarios a parchear graves vulnerabilidades en sus respectivos navegadores web, Chrome y Firefox, que de ser explotadas podrían permitir que cibercriminales tomen el control de los sistemas de los usuarios. Es importante destacar que no se detectó que alguno de estos fallos haya sido abusado en alguna campaña.

Chrome

La nueva versión estable de Chrome, 87.0.4280.141, repara 16 fallos de seguridad; y aunque el gigante tecnológico no revelará detalles de todos ellos hasta que la mayoría de su base de usuarios haya recibido las actualizaciones, sí destacó los parches para 13 vulnerabilidades que fueron reportadas por investigadores externos.

Doce de estos fallos fueron clasificados como de alto riesgo, mientras que uno era de gravedad media. La mayoría de los fallos catalogados como de alta severidad son errores del tipo use-after-free, es decir, fallos de corrupción de memoria que residen en varios componentes de Chromium. Podrían explotarse si un usuario visitaba o era redirigido a una página web especialmente diseñada para lograr la ejecución remota de código en el contexto del navegador, señaló el Centro para la Seguridad de Internet (CIS).

Google pagó más de 110.000 dólares a los investigadores que descubrieron y reportaron las vulnerabilidades.

La Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) publicó un comunicado en el que insta a los usuarios y administradores del sistema a actualizar el navegador: “Google ha lanzado la versión 87.0.4280.141 de Chrome para Windows, Mac y Linux. Esta versión corrige vulnerabilidades que un atacante podría aprovechar para tomar el control de un sistema afectado”.

Firefox

Mientras tanto, Mozilla lanzó una actualización de seguridad para abordar una falla de seguridad que fue clasificada como crítica (CVE-2020-16044) y que afecta a las versiones del navegador anteriores a Firefox 84.0.2, Firefox para Android 84.1.3 y Firefox ESR 78.6.1.

“Un actor malintencionado podría haber modificado un fragmento de COOKIE-ECHO en un paquete SCTP de forma que potencialmente podría haber resultado en un uso de memoria luego de liberada (use-after-free). Presumimos que con el esfuerzo suficiente podría haber sido explotada para ejecutar código arbitrario”, dijo Mozilla describiendo el vector de ataque.

El protocolo de transmisión de control de flujo (SCTP) se utiliza para transportar múltiples flujos de datos al mismo tiempo entre dos puntos finales que están conectados a la misma red. La falla en Firefox reside en cómo el protocolo maneja los datos de las cookies.

CISA también tomó nota de esta vulnerabilidad y emitió un aviso instando tanto a los usuarios como a los administradores a actualizar el software para proteger sus sistemas de posibles ataques.

De hecho, le recomendamos encarecidamente que actualice los navegadores a sus respectivas últimas versiones tan pronto como sea posible. Puede descargar la última versión de Chrome aquí y de Firefox aquí. Si tiene habilitadas las actualizaciones automáticas, sus navegadores deberían actualizarse por sí mismos.

Newsletter

Discusión