Urgente – Actualizar navegadores Chrome por vulnerabilidad de día cero – Tenable

• La falla podría permitir que un atacante ejecute comandos del sistema, lea, escriba o incluso elimine archivos en la computadora de la víctima, cree una puerta trasera para el sistema, obtenga acceso a la red o descargue un programa malicioso como ransomware.
• Tenable insta a los usuarios a actualizar sus navegadores Chrome lo antes posible para reducir el riesgo de un compromiso.

22 de Octubre del 2020

“Los usuarios de Chrome podrían estar potencialmente en riesgo de ejecución de código arbitrario (ACE) debido a una vulnerabilidad de día cero explotada activamente. Los detalles técnicos del exploit disponible aún no se han revelado, pero las fallas de ACE podrían permitir que un atacante ejecute comandos del sistema, lea, escriba o incluso elimine archivos en la computadora de la víctima, cree una puerta trasera para el sistema, obtenga acceso a la red o descargue un programa malicioso como ransomware. Si bien las ACE son realmente un objetivo abierto, el daño puede limitarse con los controles de acceso y los permisos que normalmente existen. Es imperativo que todos los usuarios de Chrome se actualicen a la versión 86.0.4240.111 para abordar estas vulnerabilidades de alta gravedad¨, comentó Rody Quinlan, Gerente de respuesta de seguridad de Tenable

De acuerdo a Quinlan el día cero es una falla de corrupción de memoria [CVE-2020-15999] descrita como un “desbordamiento de búfer de pila en FreeType”. La explotación exitosa de los desbordamientos del búfer de pila podría provocar una pérdida de memoria que podría usarse para conducir a la ejecución de código arbitrario. Dado que la falla de Chrome se está explotando activamente, se insta a los usuarios a actualizar sus navegadores lo antes posible para reducir el riesgo de compromiso.

“Chrome no es el primer navegador con un día cero explotado activamente este año. A poco más de una semana de inicio del 2020, Mozilla publicó un aviso para una vulnerabilidad de día cero en Mozilla Firefox, CVE-2019-17026, y más tarde en abril para CVE-2020-6819 y CVE-2020-6820. Mozilla Firefox recomendó a los usuarios que actualizaran lo antes posible ya que estaban al tanto de los ataques dirigidos a la falla.

Microsoft también lanzó un aviso fuera de banda (OOB) (ADV200001) en enero para CVE-2020-0674, una vulnerabilidad de ejecución remota de código (RCE) de día cero en Internet Explorer. Mientras que un aviso OOB para una vulnerabilidad RCE de Microsoft es motivo suficiente para tomar nota, el aviso también indicaba que Microsoft estaba al tanto de ataques dirigidos¨, continuó Rody Quinlan. 

“Con tres de los navegadores más utilizados este año como objetivo activo con días cero, es imperativo que las organizaciones parcheen sus sistemas tan pronto como las actualizaciones estén disponibles“, finalizó Quinlan.