La explotación exitosa de algunos de estos defectos podría permitir a los atacantes tomar el control de los sistemas vulnerables
Google y Mozilla están instando a los usuarios a parchear vulnerabilidades graves en sus respectivos navegadores web, Chrome y Firefox, que podrían ser explotados para permitir que los actores de amenazas se apoderen de los sistemas de los usuarios. Las correcciones de seguridad se implementarán en Windows, Mac y Linux en los próximos días. Es importante destacar que ninguno de los defectos han sido usados para aprovecharse de estas ulverabilidades.
Chrome
La nueva versión estable de Chrome, 87.0.4280.141, trae 16 correcciones de seguridad; y aunque el gigante tecnológico no revelará detalles para todos ellos hasta que la mayoría de su base de usuarios haya recibido las actualizaciones, sí resaltó parches para 13 vulnerabilidades que fueron reportadas por investigadores externos.
Doce defectos fueron clasificados como de alto riesgo, mientras que uno se determinó que era de gravedad media. La mayoría de los defectos de alta gravedad son errores de uso después de la liberación, es decir, defectos de corrupción de memoria, que residen en varios componentes de Chrome.
Podrían ser explotados si un usuario visitaba o era redirigido a una página web especialmente diseñada con el fin de lograr la ejecución remota de código en el contexto del navegador, señaló el Centro para la Seguridad de Internet.
Google pagó más de US$110.000 a los investigadores de seguridad por descubrir e informar de las vulnerabilidades.
La Agencia de Seguridad cibernética e Infraestructura (CISA) emitió un aviso de seguridad instando a los usuarios y administradores de sistemas a actualizar el navegador: «Google ha lanzado Chrome versión 87.0.4280.141 para Windows, Mac y Linux. Esta versión aborda las vulnerabilidades que un atacante podría explotar para tomar el control de un sistema afectado.»
Firefox
Mientras tanto, Mozilla lanzó una actualización de seguridad para abordar una fallo de seguridad de clasificación crítica que se rastrea como CVE-2020-16044 y afecta a las versiones del navegador anteriores a Firefox 84.0.2, Firefox para Android 84.1.3 y Firefox ESR 78.6.1.
«Un malintencionado podría modificar un fragmento cookie-ECHO en un paquete SCTP de una manera que potencialmente resulte en un uso inapropiado después de la liberación. Suponemos que con suficiente esfuerzo podría haber sido explotado para ejecutar código arbitrario», dijo Mozilla describiendo el vector de ataque.
El Protocolo de transmisión de control de secuencia (SCTP) se utiliza para transportar varias secuencias de datos al mismo tiempo entre dos puntos finales que están conectados a la misma red. El defecto en Firefox reside en cómo el protocolo maneja los datos de cookies.
CISA tomó nota de esta vulnerabilidad también y emitió un aviso instando tanto a los usuarios como a los administradores a actualizar su software para proteger sus sistemas de posibles ataques.
De hecho, le recomendamos encarecidamente que actualice los navegadores a sus respectivas versiones más recientes tan pronto como sea posible. Puede descargar la última versión de Chrome aquí y Firefox aquí. Si tiene habilitadas las actualizaciones automáticas, los navegadores deben actualizarse por sí mismos.