Google lanzó una actualización de su navegador web Chrome que repara cinco fallas de seguridad, incluida una vulnerabilidad que ha estado siendo explotada de forma activa por atacantes.
Google está al tanto de los reportes acerca de que existe un exploit para la CVE-2020-15999 y que está siendo utilizado activamente por cibercriminales, dijo Google sobre la vulnerabilidad zero-day en FreeType; una biblioteca de desarrollo de software ampliamente utilizada que también es un componente de Chrome. El bug en esta biblioteca para el renderizado de fuentes afecta a las versiones del navegador para Windows, macOS y Linux.
La falla, clasificada como de alta severidad, fue reportada el 19 de octubre por Sergei Glazunov, miembro de Project Zero de Google, y el lanzamiento de la actualización se realizó poco después. Los detalles sobre la zero-day siguen siendo escasos, aunque Google reveló que la falla de corrupción de memoria en FreeType causa un overflow del búfer en el heap.
Se sabe que los overflow en el heap provocan daños en los datos o comportamientos inesperados, los cuales pueden ser utilizados para explotar un programa en el que se produce el overflow de memoria.
“Este es un lanzamiento de emergencia que repara una vulnerabilidad grave en el manejo de mapas de bits PNG embebidos, por lo que todos los usuarios deben actualizar de inmediato", dice en un mensaje publicado en el sitio web FreeType.
Ben Hawkes, el líder técnico de Project Zero, tuiteó que aunque el equipo solo identificó un exploit dirigido a Chrome, aquellos que usan FreeType también deberían parchear sus sistemas para evitar ser atacados por ciberdelincuentes apresurados por intentar explotar la falla de seguridad. También abordó las preocupaciones sobre si la zero-day también podría afectar a Chrome para Android.
does this affect chrome android as well?
— yan (@bcrypt) October 21, 2020
La actualización también corrigió otras cuatro vulnerabilidades, tres de las cuales se consideraron fallas de gravedad alta y una de gravedad media.
Si tiene habilitadas las actualizaciones automáticas, su navegador debería actualizarse a la última versión 86.0.4240.111 por sí mismo. Sin embargo, si no ha habilitado esta opción, tendrá que hacerlo usted mismo a través de la sección Acerca de Google Chrome, que se encuentra dentro de Ayuda en el menú lateral.