Múltiples vulnerabilidades en diversos desarrollos tecnológicos fueron reportadas durante los últimos días. Uno de los reportes que más llamaron la atención de la comunidad de la ciberseguridad esta semana se refiere al hallazgo de un conjunto de fallas en el navegador Google Chrome; de ser explotadas, estas fallas permitirían la ejecución de código arbitrario en el contexto del navegador.
Además, dependiendo de los privilegios asociados con la aplicación, los actores de amenazas podrían ver, modificar e incluso eliminar los datos del usuario. Por otra parte, si la aplicación se configuró para contar con privilegios menores en el sistema, la explotación de las vulnerabilidades podría tener menor impacto para las víctimas.
En la alerta de seguridad se menciona que las vulnerabilidades podrían ser explotadas mientras los usuarios navegan en Chrome, o bien mientras son redirigidos a páginas web especialmente diseñadas. A continuación se presentan las vulnerabilidades encontradas, con sus respectivas claves del Common Vulnerability Scoring System (CVSS).
- CVE-2020-6422: Vulnerabilidad use-after-free en WebGL
- CVE-2020-6424: Vulnerabilidad use-after-free en Media
- CVE-2020-6425: Insuficiente aplicación de políticas en extensiones
- CVE-2020-6426: Implementación inapropiada en V8
- CVE-2020-6427; CVE-2020-6428, CVE-2020-6429 y CVE-2020-6449: Vulnerabilidad use-after-free en audio
- CVE-2020-20503: Lectura fuera de límites en usersctplib
La explotación exitosa de las fallas de seguridad más críticas podría permitir a un actor de amenazas remoto ejecutar código arbitrario en el contexto del navegador, realizar acciones no autorizadas e incluso generar condiciones de denegación de servicio (DDoS).
Hasta el momento no se conocen soluciones alternativas para mitigar el riesgo de explotación, por lo que miembros destacados de la comunidad de la ciberseguridad elaboraron una lista de medidas de seguridad que pueden mantener su implementación de Chrome protegida:
- Instalar la actualización de canal estable, lanzada recientemente por Google para corregir esta variante de ataque
- Ejecutar cualquier aplicación como usuario sin privilegios administrativos, lo que reducirá el impacto en caso de explotación
- Usar listas blancas de sitios web para navegar de forma segura
- Aplicar el Principio de Privilegio Mínimo a todos los sistemas y servicios utilizados
Google afirma que, hasta el momento, no se conocen casos de explotación de estas fallas en escenarios reales, aunque recomiendan encarecidamente a los usuarios seguir las recomendaciones de seguridad.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.