Por tercer mes consecutivo, Google emitió actualizaciones de seguridad para abordar dos vulnerabilidades día cero en Chrome, el navegador web más utilizado del mundo. Las dos fallas residen en la versión estable de Chrome (v95.0.4638.69) para computadoras con sistemas Windows, Linux y macOS. La guía para verificar las actualizaciones en el navegador está disponible en las plataformas oficiales de Google.
Identificadas como CVE-2021-38000 y CVE-2021-38003, ambas fallas fueron encontradas por los expertos de Google Threat Analysis Group, dedicados a la detección de actividad maliciosa y posibles campañas de hacking.
Mientras que la primera falla es descrita como un error de diseño debido a la inadecuada validación de entradas no confiables en Intents, la segunda es una falla de corrupción de memoria que existe debido a una implementación inadecuada de V8. Como algunos usuarios sabrán, los errores de seguridad en V8 permiten a los actores de amenazas crear exploits muy peligrosos, difíciles de mitigar con las medidas de seguridad existentes en la actualidad.
La actualización más reciente de Chrome incluye otros ocho parches para el navegador, la mayoría relacionados con fallas en la memoria del sistema. Google también abordó dos errores use-after-free, una falla de validación de datos en la sección “Nueva Pestaña” y un error de confusión de tipo en V8.
Esta es la decimocuarta ocasión en el año que Google aborda una vulnerabilidad día cero en Chrome, un problema que parece haberse agravado desde mediados de 2021. A pesar de que existen exploits relacionados con estas fallas, Google no ha reconocido la explotación activa de las vulnerabilidades o la presencia de algún grupo de hacking detrás de estos exploits.
A pesar del inusualmente alto número de vulnerabilidades día cero en Chrome encontradas este año, Google espera estar trabajando adecuadamente para la detección oportuna y corrección de estos errores, aunque sin dudas mantener esta carrera contra los hackers maliciosos representa un riesgo para los cientos de millones de usuarios de Chrome.
Finalmente, los expertos de Google Project Zero mencionan que esta tendencia parece afectar a otros gigantes tecnológicos además de Google, incluyendo compañías como Microsoft y Apple, afectadas por toda clase de vulnerabilidades día cero durante los últimos meses.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
