in

Google Patches 2 Chrome Zero-Days explotado activamente

00aEYYRVGY6j4sZSOztZoc3 1.1635533344.fit lim.size 1200x630

Google ha lanzado una nueva versión de Chrome para corregir siete fallas de seguridad en el popular navegador, dos de las cuales son vulnerabilidades de día cero que ya han sido explotadas por piratas informáticos.

Las siete vulnerabilidades abordadas se consideran de gravedad alta, que es el segundo nivel más alto en las pautas de gravedad de Google. La compañía dice que su objetivo es hacer que los parches relacionados con vulnerabilidades de alta gravedad estén disponibles para todos los usuarios de Chrome en menos de 60 días.

Sin embargo, no todos los errores de gravedad alta se crean de la misma manera, y Google dice que es «consciente de que los exploits para CVE-2021-38000 y CVE-2021-38003 existen en la naturaleza». Eso significa que los atacantes ya han encontrado una forma de utilizar las vulnerabilidades, pero Google no ha ofrecido detalles sobre esas vulnerabilidades.

La compañía dice que CVE-2021-38000 se relaciona con «Validación insuficiente de entradas no confiables en Intents». Mientras tanto, CVE-2021-38003 se describe como una «Implementación inapropiada en V8». (Que es un motor de JavaScript y WebAssembly de código abierto que también utiliza Node.js.)

Google dice que CVE-2021-38000 fue informado por Clement Lecigne, Neel Mehta y Maddie Stone de Google Threat Analysis Group el 15 de septiembre; CVE-2021-38003 fue informado por Lecigne y Samuel Groß de Google Project Zero el 26 de octubre. Los parches se lanzaron el 28 de octubre.

Dos de las vulnerabilidades (CVE-2021-38001 y CVE-2021-38002) fueron reportadas por los participantes en la Copa Tianfu, una competencia de piratería china donde los investigadores mostraron exploits en todo, desde Windows 10 y Adobe PDF Reader hasta iOS 15 y Chrome. a principios de este mes.

Recomendado por nuestros editores

Las vulnerabilidades restantes fueron reportadas por Ashish Arun Dhone, Cassidy Kim de Amber Security Lab y Wei Yuan de MoyunSec VLab entre el 21 de septiembre y el 14 de octubre. Los investigadores recibieron recompensas de $ 1,000 y $ 10,000 por revelar las fallas de seguridad.

Los parches para todos estos errores llegaron con Chrome 95.0.4638.69 para Windows, macOS y Linux. La actualización se puede instalar manualmente a través de la página Acerca de Google Chrome en la sección Ayuda del menú del navegador; automáticamente «se implementará en los próximos días / semanas» para todos los usuarios.

¿Te gusta lo que estás leyendo?

Matricularse en Vigilancia de seguridad boletín informativo para nuestras principales historias de privacidad y seguridad enviadas directamente a su bandeja de entrada.

Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines informativos en cualquier momento.

function facebookPixelScript() { if (!facebookPixelLoaded) { facebookPixelLoaded = true; document.removeEventListener('scroll', facebookPixelScript); document.removeEventListener('mousemove', facebookPixelScript);

!function(f,b,e,v,n,t,s){if(f.fbq)return;n=f.fbq=function(){n.callMethod? n.callMethod.apply(n,arguments):n.queue.push(arguments)};if(!f._fbq)f._fbq=n; n.push=n;n.loaded=!0;n.version='2.0';n.queue=[];t=b.createElement(e);t.async=!0; t.src=v;s=b.getElementsByTagName(e)[0];s.parentNode.insertBefore(t,s)}(window, document,'script','//connect.facebook.net/en_US/fbevents.js');

fbq('init', '454758778052139'); fbq('track', "PageView"); } }