Los equipos de seguridad de Mozilla y Google han anunciado el lanzamiento de diversos parches para corregir algunas vulnerabilidades críticas en sus respectivos navegadores web. Los reportes mencionan que, de ser explotadas, las fallas permitirían a los actores de amenazas tomar control completo de los sistemas comprometidos.
Al parecer ninguna de las fallas ha sido explotada en escenarios reales, aunque lo más recomendable es que los usuarios instalen las actualizaciones lo antes posible. Las actualizaciones deberán instalarse en los sistemas Windows, Linux y Mac sin excepción.
Más de 15 vulnerabilidades en Chrome
Google lanzó la versión 87.0.4280.141 de Chrome, que incluye 16 parches. El reporte de seguridad de la compañía no incluye mayores detalles sobre las fallas abordadas, pues prefieren esperar a que la mayoría de los usuarios actualicen su navegador antes de ahondar en detalles técnicos; al menos 13 de estas fallas fueron reportadas por investigadores externos.
Doce de estas fallas son consideradas críticas, mientras que el resto recibieron puntajes bajos. La mayoría de estas son fallas use-after-free o, en otras palabras, vulnerabilidades de corrupción de memoria que residen en Chromium. Estas fallas podrían ser explotadas si los usuarios visitan sitios web especialmente diseñados para desencadenar la ejecución remota de código en el contexto del navegador vulnerable.
Google pagó más de 110 mil dólares en recompensas a los investigadores de seguridad que reportaron estas fallas.
Múltiples versiones vulnerables de Firefox
Por su parte, la actualización de Mozilla aborda una falla de seguridad severa (identificada como CVE-2020-16044) presente en todas las versiones de Firefox anteriores a 84.02, Firefox for Android 84.1.3y Firefox ESR 78.6.1. Acorde a la compañía, un par malicioso podría haber modificado un fragmento de COOKIE-ECHO en un paquete del Protocolo de Transmisión de Flujo (SCTP) para conducir a la falla: “Un actor de amenazas podría encontrar la forma de ejecutar código arbitrario en un sistema vulnerable”, agrega Mozilla.
Cabe recordar que SCTP se utiliza para transportar múltiples flujos de datos al mismo tiempo entre dos endpoints conectados a la misma red. La falla existe debido a la forma en la que el protocolo maneja los datos de las cookies.
La Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) emitió un aviso para cada paquete de actualizaciones, solicitando a los administradores de sistemas vulnerables actualizar a la brevedad, ya que no existen soluciones alternativas conocidas.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad