Un grupo de expertos de un curso de hacking ha reportado el hallazgo de 27 vulnerabilidades en Google Chrome. Según el reporte, la explotación de la más grave de estas fallas podría conducir a la ejecución de código arbitrario en el contexto del navegador. Estas fallas representan un riesgo enorme, pues Chrome es el navegador más empleado en todo el mundo.
Dependiendo de los privilegios asociados con la aplicación afectada, los actores de amenazas podrían ver, cambiar o eliminar datos. Si esta aplicación se configuró para tener menores derechos de usuario en el sistema, el impacto de la explotación de las vulnerabilidades más graves podría verse reducido, a diferencia de escenarios que involucren derechos administrativos.
A continuación se presenta la lista completa de errores descubiertos por los expertos del curso de hacking, además de la clave de identificación en el Common Vulnerability Scoring System (CVSS).
- CVE-2020-6465: Vulnerabilidad use-after-free en modo lector
- CVE-2020-6466: Vulnerabilidad use-after-free en Medios
- CVE-2020-6467: Vulnerabilidad use-after-free en WebRTC
- CVE-2020-6468: Confusión de tipos en V8
- CVE-2020-6469: Insuficiente cumplimiento de políticas en las herramientas para desarrolladores
- CVE-2020-6470: Validación insuficiente de la entrada no confiable en el portapapeles
- CVE-2020-6471: Insuficiente aplicación de políticas en herramientas de desarrollador
- CVE-2020-6472: Insuficiente aplicación de políticas en herramientas de desarrollador
- CVE-2020-6473: Insuficiente aplicación de políticas en Blink
- CVE-2020-6474: : Vulnerabilidad use-after-free en Blink
- CVE-2020-6475: IU de seguridad incorrecta en pantalla completa
- CVE-2020-6476: Insuficiente cumplimiento de políticas en la tira de pestañas
- CVE-2020-6477: Implementación inadecuada en el instalador
- CVE-2020-6478: Implementación inapropiada en pantalla completa
- CVE-2020-6479: Implementación inapropiada en Compartir
- CVE-2020-6480: Insuficiente aplicación de políticas en la empresa
- CVE-2020-6481: Insuficiente cumplimiento de políticas en el formato de URL
- CVE-2020-6482: Insuficiente cumplimiento de políticas en las herramientas para desarrolladores
- CVE-2020-6483: Insuficiente cumplimiento de políticas en los pagos
- CVE-2020-6484: Insuficiente validación de datos en ChromeDriver
- CVE-2020-6485: Validación de datos insuficiente en el enrutador de medios
- CVE-2020-6486: Insuficiente cumplimiento de políticas en las navegaciones
- CVE-2020-6487: Insuficiente aplicación de políticas en descargas
- CVE-2020-6488: Insuficiente aplicación de políticas en descargas
- CVE-2020-6489: Implementación inapropiada en herramientas de desarrollador
- CVE-2020-6490: Validación de datos insuficiente en el cargador
- CVE-2020-6491: IU de seguridad incorrecta en la información del sitio
Para mitigar el riesgo de explotación, los expertos del curso de hacking recomiendan:
- Aplicar la actualización de canal estable proporcionada por Google a los sistemas vulnerables
- Ejecutar todo el software como un usuario sin privilegios
- Evitar el uso de sitios web no confiables
- Informar a los usuarios sobre las amenazas que representan los enlaces de hipertexto contenidos en correos electrónicos, archivos adjuntos o sitios web inseguros
Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática puede ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
