¿Está ejecutando la última versión de Google Chrome? (actualmente 86.0.4240.111)? Le recomendamos que compruebe si su navegador Chrome está actualizado, ya que puede ser propenso a vulnerabilidades.. La mejor manera de hacerlo es ir al menú de Chrome., seleccionando Ayuda y sobre Google Chrome.
Por qué deberías estar preocupado? Los investigadores de ciberseguridad descubrieron una serie de vulnerabilidades de alta gravedad, incluido CVE-2020-15999, un error de día cero explotado en la naturaleza en ataques dirigidos.
CVE-2020-15999 Error de día cero en Google Chrome
El día cero explotado activamente es un tipo de vulnerabilidad de corrupción de memoria, conocido como desbordamiento del búfer de pila en FreeType, una biblioteca de desarrollo de código abierto para renderizar fuentes incluidas en las distribuciones estándar de Chrome. Sergei Glazunov, investigador de seguridad de Google Project Zero, descubrió la falla en octubre 19.
Ben Hawkes, Líder del equipo de Project Zero, dice que los piratas informáticos han estado abusando de la vulnerabilidad FreeType en ataques contra usuarios de Chrome. El investigador insta a otros proveedores de aplicaciones que utilizan FreeType a actualizar su software para evitar futuras vulnerabilidades.. La biblioteca FreeType ha sido parcheada en la versión 2.10.4.
¿Qué más se sabe sobre la explotación de la vulnerabilidad FreeType Chrome?? Los detalles son escasos, ya que Google suele ser reacio a revelar información técnica para que los usuarios tengan tiempo suficiente para actualizar.. Sin embargo, Existe un problema: el parche para el error es visible en el código fuente de FreeType, lo que significa que los actores de amenazas pueden realizar ingeniería inversa y crear nuevas vulnerabilidades.
Cabe destacar que CVE-2020-15999 es el tercer día cero explotado en ataques en el último año. CVE-2019-13720 fue detectado en octubre 2019, y CVE-2020-6418 - en febrero 2020. CVE-2.019-13720 fue un problema de uso después de la liberación, relacionado con la corrupción de la memoria, mientras que CVE-2020-6418 era una vulnerabilidad de confusión de tipo.
Además de CVE-2020-15999, Google también abordó otras cuatro vulnerabilidades, tres de los cuales calificados como de alto riesgo:
- CVE-2020-16000: Implementación inapropiada en Blink;
- CVE-2020-16001: Usar después gratis en los medios;
- CVE-2020-16002: Utilizar después de liberación en PDFium;
- CVE-2020-16003: Usar después gratis en la impresión (clasificado como medio).
Le recomendamos encarecidamente que actualice sus navegadores Chrome a la versión 86.0.4240.111 estar protegido.