Google, Mozilla y Adobe lanzaron ayer actualizaciones para sus productos más emblemáticos, corrigiendo fallas que podrían haber estado poniendo en peligro a sus usuarios. Por ello, si utilizas alguna de estas plataformas deberás actualizarlas cuanto antes.
A continuación veremos cada caso por separado.
Google Chrome
La versión 49.0.2623.87 corrige tres vulnerabilidades para Windows, Mac OS X y Linux, cuya explotación podría haber permitido a un atacante tomar control en forma remota del sistema infectado. En concreto, fueron las siguientes:
- CVE-2016-1643, con calificación de severidad alta
Es una vulnerabilidad "type confusion" en Blink, un motor de renderizado desarrollado por Google para los navegadores Chrome y Opera. Una falla de este tipo se produce normalmente cuando una parte de código no verifica el tipo de objeto que se le pasa y lo usa ciegamente.
Por hallarla, el alias "cloudfuzzer" recibió una recompensa de 5 mil dólares.
- CVE-2016-1644, con calificación de severidad alta
Se trata de una vulnerabilidad "use after free", es decir, el intento de utilizar memoria luego de que ha sido liberada, lo cual puede ocasionar que un programa colapse o, en algunos casos, un atacante pueda ejecutar código en forma remota. Un motivo frecuente de esto es la confusión respecto a qué parte del programa es resposable de liberar la memoria.
Atte Kettunen de OUSPG fue quien la reportó, y recibió 3.500 dólares de recompensa.
- CVE-2016-1645, con calificación de severidad alta
Es una vulnerabilidad del tipo "Out-of-bounds write" en PDFium; esto normalmente ocurre cuando el software escribe datos antes de que comience o luego de que termine el buffer. Como resultado, podría corromperse información sensible, podría colapsar el sistema o permitirse la ejecución remota de código.
Mozilla Firefox
Las actualizaciones en este caso fueron emitidas para Firefox (versión 45) y Firefox ESR (versión 38.7).
Para el primero, se corrigieron 8 fallas críticas, 7 altas, 6 moderadas y una de baja severidad. En su mayoría eran "use after free", buffer overflow y violación de la política de mismo origen. Para el segundo, se corrigieron 8 fallas críticas, 4 altas, 2 moderadas y una de severidad baja.
Adobe
Para Adobe Acrobat y Reader en Windows y Mac OS X se corrigieron dos vulnerabilidades de corrupción de memoria (CVE-2016-1007 y CVE-2016-1009), y una en la ruta del directorio de búsqueda que se usa para encontrar recursos (CVE-2016-1008).
Ambas fueron catalogadas como críticas por permitir potencialmente que un atacante tome el control del sistema infectado.
¡Recuerda actualizar cuanto antes estos servicios!