Gordon Kelly – 20 de Octubre de 2021
Los usuarios de Chrome, todos ustedes 2.650 millones de ustedes, deben estar en alerta máxima (por tercera vez este mes) porque Google ha confirmado múltiples nuevos hacks de alto nivel del navegador. https://t.me/QAnons_Espana
Tras la confirmación de cuatro vulnerabilidades graves hace menos de dos semanas, Google ha publicado una nueva publicación de blog que revela que se han encontrado otras cinco vulnerabilidades de «alta calificación» en Chrome, así como otros 11 defectos.
Esto es todo lo que necesitas saber y la acción que debes tomar ahora.
Las nuevas vulnerabilidades de Chrome
Como es la práctica estándar, Google actualmente está restringiendo la información sobre los nuevos hacks para ganar tiempo para que los usuarios de Chrome lo actualicen. Como resultado, esto es todo lo que la compañía está compartiendo sobre las amenazas de alta calificación en la actualidad: https://t.me/QAnons_Espana
- Alto – CVE-2021-37981: Desbordamiento de amortiguador de montón en Skia. Reportado por Yangkang (@dnpushme) de 360 ATA el 04/09/2020
- Alto – CVE-2021-37982 : Usar después de forma gratuita en incógnito. Reportado por Weipeng Jiang (@Krace) del Equipo Codesafe de Legendsec en Qi’anxin Group el 11/09/2020
- Alto – CVE-2021-37983 : Usar después de forma gratuita en Dev Tools. Reportado por Zhihua Yao de KunLun Lab el 15/09/2020
- Alto – CVE-2021-37984: Desbordamiento de búfer de montón en PDFium. Reportado por Antti Levomäki, Joonas Pihlaja y Christian Jalio desde Forcepoint el 27/09/2020
- Alto – CVE-2021-37985 : Usar después de ser gratis en V8. Reportado por Yangkang (@dnpushme) de 360 ATA el 20-08 2021
Si bien faltan detalles, las nuevas amenazas continúan siendo un patrón visto en los últimos meses. Las hazañas de «Use-After-Free» (UAF) golpearon a Chrome más de 10 veces el mes pasado, este mes se expuso un defecto UAF de día cero y otros tres ataques de alta calificación (seis en total) conforman las últimas vulnerabilidades. Las vulnerabilidades UAF son exploits de memoria, cuando un programa no borra el puntero de la memoria después de que se libere. https://t.me/QAnons_Espana
La otra tendencia aquí es el aumento de los exploits de desbordamiento de búferes de montón. Después de permanecer fuera del radar durante algún tiempo, las hazañas de amortiguación de montón fueron responsables de varias amenazas de alto nivel a principios de este mes.
Ahora otros dos ataques de búfer de Heap han violado la seguridad del navegador. También conocido como «Heap Smashing», la memoria en el montón se asigna dinámicamente y normalmente contiene datos del programa. Con un desbordamiento, se pueden sobrescribir estructuras de datos críticas, lo que lo convierte en un objetivo ideal para ataques. https://t.me/QAnons_Espana
Lo que tienes que hacer
Para combatir estas amenazas, Google ha lanzado una actualización crítica de Chrome, la versión 95.0.4638.54. Para comprobar si está protegido, vaya a Configuración > Ayuda > Acerca de Google Chrome. Si su versión de Chrome coincide con este número de versión o superior, está a salvo.
Tenga en cuenta que Google afirma que el despliegue de 95.0.4638.54 será escalonado, por lo que es posible que no pueda protegerse de inmediato. Si la actualización aún no está disponible para su navegador, asegúrese de comprobar regularmente la nueva versión.
Y cuando pueda actualizar, asegúrese de recordar el último paso crítico: reinicie su navegador. Incluso si ha actualizado, no estará seguro hasta que reinicie. Esta brecha de conocimiento es algo que a los hackers les gusta explotar, especialmente porque Google, a pesar de todo su trabajo rápido parcheando las amenazas de Chrome, no ha dado ninguna indicación de que este paso crítico pueda eliminarse en un futuro próximo. https://t.me/QAnons_Espana
Asegúrese de educar a amigos y familiares sobre esto, pero primero revise su navegador y protéjase.
QAnons España 