Los usuarios de Chrome, los 2.650 millones de ustedes, deben estar en alerta máxima (por tercera vez este mes) porque Google ha confirmado múltiples nuevos hacks de alto nivel del navegador. Tras la confirmación de cuatro vulnerabilidades graves hace menos de dos semanas, Google ha publicado una nueva publicación de blog que revela que se han encontrado otras cinco vulnerabilidades con calificación «alta» en Chrome, así como otras 11 fallas. Aquí encontrará todo lo que necesita saber y la acción que debe tomar ahora. Nuevas vulnerabilidades de Chrome Como es una práctica estándar, Google actualmente está restringiendo la información sobre los nuevos trucos para ganar tiempo para que los usuarios de Chrome se actualicen.
Como resultado, esto es todo lo que la compañía comparte sobre las amenazas de alta calificación en la actualidad:
Alto: CVE-2021-37981: desbordamiento del búfer de pila en Skia. Reportado por Yangkang (@dnpushme) de 360 ATA el 2021-09-04
Alto – CVE-2021-37982: Úselo después de gratis en Incognito. Reportado por Weipeng Jiang (@Krace) del Equipo Codesafe de Legendsec en Qi’anxin Group el 2021-09-11
Alto – CVE-2021-37983: Úselo después de forma gratuita en Dev Tools. Reportado por Zhihua Yao de KunLun Lab el 2021-09-15
Alto: CVE-2021-37984: desbordamiento del búfer de pila en PDFium. Reportado por Antti Levomäki, Joonas Pihlaja y Christian Jalio de Forcepoint el 2021-09-27
Alto – CVE-2021-37985: Úselo después de forma gratuita en V8. Reportado por Yangkang (@dnpushme) de 360 ATA el 2021-08-20
Si bien faltan detalles específicos, las nuevas amenazas continúan un patrón visto en los últimos meses. Los exploits «Use-After-Free» (UAF) afectaron a Chrome más de 10 veces el mes pasado, este mes se expuso una falla UAF de día cero y otros tres ataques de alta calificación (seis en total) constituyen las últimas vulnerabilidades. Las vulnerabilidades UAF son explotaciones de memoria, cuando un programa no puede borrar el puntero de la memoria después de que se libera. La otra tendencia aquí es el aumento de las vulnerabilidades de desbordamiento del búfer de pila.
Después de permanecer fuera del radar durante algún tiempo, las vulnerabilidades de búfer de Heap fueron responsables de varias amenazas de alto nivel a principios de este mes. Ahora, otros dos ataques de búfer de Heap han violado la seguridad del navegador. También conocido como «Rompiendo Heap», la memoria en el montón se asigna dinámicamente y normalmente contiene datos del programa. Con un desbordamiento, las estructuras de datos críticas se pueden sobrescribir, lo que lo convierte en un objetivo ideal para los ataques.
Qué necesitas hacer ?
Para combatir estas amenazas, Google ha lanzado una actualización crítica de Chrome, versión 95.0.4638.54. Para comprobar si está protegido, vaya a Configuración> Ayuda> Acerca de Google Chrome. Si su versión de Chrome coincide con este número de versión o superior, está seguro. Tenga en cuenta que Google afirma que el lanzamiento de 95.0.4638.54 será escalonado, por lo que es posible que no pueda protegerse de inmediato.
Si la actualización aún no está disponible para su navegador, asegúrese de buscar periódicamente la nueva versión. Para estar seguro, Chrome debe reiniciarse después de actualizar GOOGLE Y cuando pueda actualizar, asegúrese de recordar el último paso fundamental: reinicie su navegador. Incluso si ha actualizado, no estará seguro hasta que reinicie. Esta brecha de conocimiento es algo que a los piratas informáticos les gusta explotar, especialmente porque Google, a pesar de todo su rápido trabajo parcheando las amenazas de Chrome, no ha dado indicios de que este paso crítico pueda eliminarse en un futuro próximo. Asegúrese de informar a sus amigos y familiares sobre esto, pero primero revise su navegador y protéjase.
