8 feb 2021

Nuevo Zero-Day en Chrome (Parchea!)

Google ha parcheado una vulnerabilidad Zero-Day en el navegador web Chrome para escritorio que dice que está siendo explotada activamente. La compañía lanzó la versión 88.0.4324.150 para Windows, Mac y Linux, con una solución para una falla de desbordamiento de búfer (CVE-2021-21148) en su motor de renderizado V8 JavaScript.

Mattias Buelens informó a Google de la falla de seguridad el 24 de enero. Anteriormente, el 2 de febrero, Google abordó seis problemas en Chrome, incluida una vulnerabilidad crítica en la aplicación Payments (CVE-2021-21142) y cuatro fallas de gravedad alta en las funciones de Extensiones, Grupos de pestañas, Fuentes y Navegación.

Si bien es típico de Google limitar los detalles de la vulnerabilidad hasta que la mayoría de los usuarios estén actualizados, el desarrollo se produce semanas después de que Google y Microsoft revelaran los ataques llevados a cabo por delincuentes informáticos norcoreanos contra investigadores de seguridad con una elaborada campaña de ingeniería social para instalar un puerta trasera de Windows.

Con algunos investigadores infectados simplemente por visitar un blog de investigación falso en sistemas completamente parcheados que ejecutan Windows 10 y el navegador Chrome, Microsoft, en un informe publicado el 28 de enero, había insinuado que los atacantes probablemente aprovecharon un Zero-Day de Chrome para comprometer los sistemas.

Aunque no está claro de inmediato si CVE-2021-21148 se usó en estos ataques, el momento de las revelaciones y el hecho de que el aviso de Google salió exactamente un día después de que Buelens informara el problema implica que podrían estar relacionados.

En otro artículo técnico, la empresa de ciberseguridad de Corea del Sur, ENKI, dijo que el grupo de atacantes patrocinado por el estado norcoreano conocido como Lazarus hizo un intento fallido de atacar a sus investigadores de seguridad con archivos MHTML maliciosos que, cuando se abrieron, descargaron dos payloads de un servidor remoto , uno de los cuales contenía un Zero-Day contra Internet Explorer.

Vale la pena señalar que el año pasado Google arregló cinco Zero-Days de Chrome que fueron explotados activamente en un lapso de un mes entre el 20 de octubre y el 12 de noviembre.

Fuente: THN

Suscríbete a nuestro Boletín

2 comentarios:

  1. "...incluido un uso crítico después de la vulnerabilidad gratuita..."

    Inserte aqui meme de Piccard agarrandose la cabeza...

    Las notas son buenas pero por favor repasen las traducciones!

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!