Descubrieron tres nuevas vulneraciones al sistema de Google Chrome y dos de ellas ya fueron explotadas por los ciberdelincuentes. Las recomendaciones de los expertos son mantener actualizado los navegadores, así como también los antivirus instalados en los computadores.
Ante las vulnerabilidades encontradas en los sistemas de seguridad del navegador web de la compañía, Google rápidamente lanzó una nueva actualización para resguardar la privacidad y datos que pudieron haber sido vulnerados.
Según explicó Kaspersky en su web, esta actualización de emergencia tendría solución para tres vulnerabilidades encontradas, donde una de ellas es considerada “crítica” y las otras dos como “altamente peligrosas”.
La situación se vuelve realmente importante ya que dos de estas vulnerabilidadesya fueron explotadas por los ciberdelincuentes, por lo que Google recomendó que todos sus usuarios de Chrome actualizasen su navegador de inmediato a la versión 94.0.4606.71.
Google Chrome no es el único afectado, también informaron que aquellos navegadores con base en el motor “Chromium”, por ejemplo, Microsoft Edge, también deberían ser actualizados a su versión más reciente.
¿Qué tienen de peligrosas?
Dos vulneraciones son del tipo “use-after-free” que buscan explotar un uso incorrecto de la memoria “heap”, lo que a su vez puede resultar en la ejecución de códigos arbitrarios en el computador.
Específicamente, la primera vulneración llamada “CVE-2021-37974”, está relacionada con el componente “Safe Browsing”, un subsistema de Google Chrome que advierte a los usuarios “sobre sitios web y descargas de dudosa seguridad”. Dicho sistema calificó a la gravedad de CVSS v3.1 para esta vulnerabilidad es de 7,7 de 10.
La segunda vulnerabilidad, la “CVE-2021-37975”, se ha encontrado en el motor “V8 JavaScript” de Chrome y está considerada como la más peligrosa de las tres con un 8,4 de 10 en la escala de CVSS v3.1, lo que la convierte en una vulnerabilidad de riesgo crítico. Un grupo de delincuentes desconocidos ya han usado esta vulnerabilidad en sus ataques a los usuarios de Chrome.
La causa de la tercera vulnerabilidad, la “CVE-2021-37976”, es la sobreexposición de los datos causada por el núcleo de Google Chrome. Está considerada ligeramente menos peligrosa con un 7,2 de 10en la escala CVSS v3.1; sin embargo, los ciberdelincuentes ya la están utilizando también.
¿De qué forma ejecutan las vulnerabilidades?
Por lo que explicó Kaspersky, la explotación de estas tres vulneraciones requieren la creación de una página web maliciosa. “Lo único que los atacantes necesitan es crear un sitio web con una explotación incrustada y una manera de atraer a víctimas”, señaló la compañía de seguridad.
“Como resultado, los ciberdelincuentes pueden obtener acceso a la información confidencial de la victima en el proceso”, añadieron.
¿Cómo puedo asegurar mi sistema?
Las recomendaciones son, por lo general en estos casos, mantener actualizado los navegadores en todos los dispositivos que tengas conectado al Internet.
Por lo general estas actualizaciones se instalan de forma automática cuando se reinicia el navegador. Sin embargo, muchos usuarios no acostumbran a reiniciar sus computadores, por lo que podría quedar vulnerable durante aquellos días donde no se realiza la actualización.
Para saber que versión de Google Chrome tienes debes seguir los siguientes pasos según Kaspersky: haz clic en el botón Personaliza y controla Google Chrome en la esquina superior derecha de la ventana del navegador y elige Ayuda -> Información de Google Chrome. Si la versión de tu navegador no es la más reciente disponible, Chrome iniciará la actualización de forma automática.
Sumado a esto, también se recomienda a los usuarios mantener sus antivirus actualizados para que así se puedan reducir las posibilidades de vulneración.
