Dos nuevo Zero-Day en Chrome

Google está pidiendo a los usuarios de escritorio de Chrome que se preparen para actualizar sus navegadores una vez más, ya que se han identificado dos nuevas vulnerabilidades Zero-Day en el software. Ambos permiten que un atacante remoto no autenticado ponga en peligro un sistema afectado a través de la web. Y ambos están siendo explotados activamente in-the-wild, según Google

La divulgación eleva a cinco el número total de fallas explotadas activamente encontradas en Chrome en las últimas tres semanas. Esta semana se lanzó una actualización estable del canal, 86.0.4240.198 para Windows, Mac y Linux, que se implementará "durante los próximos días y semanas", dijo Prudhvikumar Bommana de Google Chrome en una publicación de blog el miércoles.

La actualización corregirá las dos fallas rastreadas como CVE-2020-16013 y CVE-2020-16017. Ambos tienen una clasificación de gravedad de "alta", con una clasificación de 8,4 sobre 10 en la escala de gravedad de errores de CVSS, y fueron informados por una fuente anónima.

Google describe CVE-2020-16017 como un "use-after-free in site isolation", que es el componente de Chrome que aísla los datos de diferentes sitios entre sí. Para explotarlo, un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite, desencadenar un error de uso después de libre y ejecutar código arbitrario en el sistema de destino, según investigadores de la firma checa Cybersecurity Help.

Mientras tanto, CVE-2020-16013 es un error de "verificación de seguridad implementada incorrectamente", que es un tipo de falla en la que el software no implementa o implementa incorrectamente una o más verificaciones relevantes para la seguridad. En este caso particular, Google describió el error como una "implementación inapropiada en V8", que es un componente de código abierto de Chrome que maneja JavaScript y WebAssembly.

Para explotarlo, un atacante remoto también puede crear una página web especialmente diseñada, engañar a la víctima para que la visite y luego poder poner en peligro el sistema, señaló Cybersecurity Help. Otro día cero que Google parcheó a principios de este mes, CVE-2020-16009, también se debió a una implementación inapropiada de V8, pero se desconoce si las dos fallas están relacionadas.

Por lo general, Google se abstiene de proporcionar detalles específicos sobre las vulnerabilidades hasta mucho después de que se hayan parcheado. La última serie de descubrimientos y parches Zero-Day de Chrome comenzó el 19 de octubre, cuando el investigador de seguridad Sergei Glazunov de Google Project Zero descubrió un tipo de defecto de corrupción de memoria llamado desbordamiento de búfer de pila en FreeType que estaba siendo explotado activamente.

Google corrigió la vulnerabilidad dos días después. Luego, la semana pasada, Google corrigió dos fallas separadas Zero-Day en el escritorio de Google Chrome y en los navegadores basados ​​en Android. El error de Android, también con un exploit activo, es un error de escape de la sandbox que abrió un posible ataque basado en un desbordamiento del búfer de pila en la interfaz de usuario de Android, dijo la compañía.

Fuente: ThreatPost