Google lanza una actualización de seguridad de Chrome para solucionar este peligroso error
Google ha lanzado una actualización para su navegador web Chrome, solucionando una serie de errores de seguridad. Cabe señalar en particular que la nueva versión de Chrome 86.0.4240.111 contiene una solución para un exploit de día cero descubierto recientemente.
El error de seguridad, que figura como CVE-2020-15999, es una vulnerabilidad de corrupción de memoria que no sorprenderá a quienes estén familiarizados con el panorama de seguridad de Chrome. Según un estudio interno realizado por Google, el 70% de todos los errores de seguridad graves que afectan a Chrome están relacionados con la memoria. Los investigadores de Microsoft obtuvieron una cifra similar.
Esta vez, el exploit corregido utilizó una vulnerabilidad con la biblioteca de renderizado de fuentes FreeType que viene con Chrome. El error de seguridad fue descubierto por el equipo interno de Google Project Zero después de que los ciberatacantes atacaran a los usuarios de Chrome.
Una actualización imprescindible
Los usuarios de Chrome pueden mantenerse protegidos actualizando a la última versión del navegador, pero otras personas aún pueden estar en riesgo. Otras soluciones de software que usen la biblioteca FreeType aún podrían ser objetivo, razón por la cual Google aconseja a las personas en riesgo que descarguen la última versión de FreeType para recibir un parche.
"Project Zero descubrió e informó de un 0day activamente explotado en el tipo gratuito que se utilizó para apuntar a Chrome", tuiteó Ben Hawkes, gerente de Project Zero. "Aunque solo vimos un exploit para Chrome, otros usuarios de freetype deberían adoptar el parche".
Es importante que los usuarios en línea descarguen el parche lo antes posible porque los actores de amenazas, incluso aquellos que no estaban al tanto de la vulnerabilidad, pueden decidir atacar. Como FreeType es de código abierto, el parche nativo se puede ver en línea y, por lo tanto, los atacantes cibernéticos podrían utilizarlo para aplicar ingeniería inversa a sus propios exploits.
Vía: ZDNet
Deja una respuesta