Google se está moviendo para parchear una seria vulnerabilidad de día cero en Google Chrome que, si se explota, podría permitir la ejecución de código arbitrario en un sistema objetivo.
Asignado CVE-2021-21148, el error se describe como un desbordamiento del búfer de pila que existe en el componente V8 de Chrome, antes de la versión 88.0.4234.150. Inicialmente se informó el 24 de enero de 2021, según Google, que cree que un exploit ya puede existir en la naturaleza.
No se han proporcionado más detalles del problema al momento de escribir este artículo, y no ha habido informes de compromiso a través de la vulnerabilidad. Sin embargo, la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) del gobierno de los EE. UU. Ha recomendado a los usuarios actualizar a la versión 88.0.4324.146 para Windows, Mac y Linux lo antes posible.
El CEO y cofundador de Cybersmart, Jamie Akhtar, dijo que, dada la gravedad y el alcance de la vulnerabilidad, los usuarios de Chrome podrían convertirse en un objetivo principal.
«Como de costumbre, los piratas informáticos de todo el mundo, tanto el estado-nación como los delincuentes, están explotando rápidamente vulnerabilidades críticas en la naturaleza», dijo.
«En el lado positivo, un beneficio de seguridad de usar Chrome o un navegador moderno es la funcionalidad de actualización automática; esto ha afectado a muchas aplicaciones heredadas».
«Esto se basa en el principio de seguridad por diseño en el que Chrome se actualiza a sí mismo mientras está en uso, lo que requiere que el usuario solo reinicie su navegador», dijo Akhtar.
El investigador de ProPrivacy, Aaron Drapkin, dijo: “La admisión de Google Chrome de que existe un exploit de día cero en la naturaleza debería preocupar a todos los que usan el navegador.
“Estamos hablando de una vulnerabilidad que los piratas informáticos aprovechan activamente sin dejar de ser esquiva para Google al mismo tiempo. Solo pueden contraatacar cuando descubran qué es esto, que marcará el día cero de la mitigación ”, dijo.
“Los exploits de día cero no son infrecuentes y se pueden esperar en un navegador que tanta gente usa, pero para esta vulnerabilidad en particular, el día cero aún no ha ocurrido. Esto significa que es primordial asegurarse de que su navegador Chrome esté ejecutando el software más reciente disponible. Actualizar su navegador con un parche es lo mejor y lo único que puede hacer «.
Ya ha habido algunas especulaciones no confirmadas de que el día cero puede estar relacionado de alguna manera con una serie de ataques cibernéticos contra investigadores de seguridad genuinos, perpetrados por actores maliciosos respaldados por el gobierno de Corea del Norte.
Esta campaña, que fue revelada por Google en enero de 2021, vio a sus víctimas engañadas por cuentas de redes sociales de títeres de calcetines y otras técnicas de ingeniería social.
Los sistemas comprometidos estaban ejecutando versiones completamente parcheadas, en ese momento, de Microsoft Windows 10 y Chrome.