Chrome 88.0.4324.150 llega a solucionar una vulnerabilidad zero day
Dos días después de la publicación de una versión correctiva de Chrome con la eliminación de la vulnerabilidad crítica, Google dio a conocer el lanzamiento de otra actualización para Chrome 88.0.4324.150, que corrige la vulnerabilidad CVE-2021-21148 ya utilizada por hackers en exploits (0-day).
Los detalles aún no se han revelado, solo se sabe que la vulnerabilidad es causada por un desbordamiento de pila en el motor JavaScript V8.
Sobre la vulnerabilidad solucionada en Chrome
Algunos analistas especulan que la vulnerabilidad se utilizó en un exploit utilizado en el ataque ZINC de finales de enero contra investigadores de seguridad (el año pasado se promovió a un investigador ficticio en Twitter y varias redes sociales, que inicialmente se ganó una reputación positiva a través de la publicación de reseñas y artículos sobre nuevas vulnerabilidades, pero al publicar otro artículo, utilicé un exploit con una vulnerabilidad de día 0 que lanza código en el sistema cuando se hace clic en un enlace en Chrome para Windows).
Al problema se le asigna un nivel de peligro alto, pero no crítico, es decir, se indica que la vulnerabilidad no permite eludir todos los niveles de protección del navegador y no es suficiente para ejecutar código en el sistema fuera del entorno de la caja de arena.
La vulnerabilidad en Chrome en sí no permite pasar por alto el entorno de la caja de arena y, para un ataque en toda regla, se requiere otra vulnerabilidad en el sistema operativo.
Además, hay varias publicaciones de Google relacionadas con la seguridad que han aparecido recientemente:
- Un informe sobre exploits con vulnerabilidades de día 0 identificadas por el equipo de Project Zero el año pasado. El artículo proporciona estadísticas de que el 25% de las vulnerabilidades de día 0 estudiadas estaban directamente relacionadas con vulnerabilidades previamente divulgadas públicamente y reparadas, es decir, los autores de exploits de día 0 encontraron un nuevo vector de ataque debido a una corrección insuficientemente completa o de mala calidad (por ejemplo, los desarrolladores de programas vulnerables a menudo solucionan solo un caso especial o simplemente pretenden ser una corrección sin llegar a la raíz del problema).
Estas vulnerabilidades de día cero podrían haberse evitado potencialmente con una investigación más exhaustiva y la corrección de las vulnerabilidades. - Informe sobre las tarifas que paga Google a los investigadores de seguridad para identificar vulnerabilidades. Se pagaron un total de $ 6.7 millones en primas en 2020, que es $ 280,000 más que en 2019 y casi el doble que en 2018. Se pagaron un total de 662 premios. El premio más grande fue de 132.000 dólares.
- Se gastaron $ 1,74 millones en pagos relacionados con la seguridad de la plataforma Android, $ 2,1 millones – Chrome, $ 270 mil – Google Play y $ 400 mil para becas de investigación.
- Se introdujo el marco «Conocer, prevenir, reparar» para administrar metadatos sobre la reparación de vulnerabilidades, monitorear correcciones, enviar notificaciones sobre nuevas vulnerabilidades, mantener una base de datos con información sobre vulnerabilidades, rastrear vulnerabilidades a dependencias y analizar el riesgo de manifestación de vulnerabilidad a través de dependencias.
¿Como instalar o actualizar a la nueva versión de Google Chrome?
Lo primero que deben hacer es verificar si la actualización ya se encuentra disponible, para ello te tienes que dirigir a chrome://settings/help y te aparecerá la notificación de que hay una actualización.
En caso de que no sea así deberás cerrar tu navegador y deben de descargar el paquete desde la página oficial de Google Chrome, por lo que deberán de dirigirse al siguiente enlace para obtener el paquete.
O desde la terminal con:
[sourcecode text="bash"]wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb[/sourcecode]
Hecha la descarga del paquete pueden realizar la instalación directa con su gestor de paquetes preferido, o desde la terminal pueden hacerlo tecleando el siguiente comando:
[sourcecode text="bash"]sudo dpkg -i google-chrome-stable_current_amd64.deb[/sourcecode]
Y en caso de tener problemas con las dependencias, estas las solucionas tecleando el siguiente comando:
[sourcecode text="bash"]sudo apt install -f[/sourcecode]
Para el caso de los sistemas con soporte para paquetes RPM tales como CentOS, RHEL, Fedora, openSUSE y derivados deben de descargar el paquete rpm, el cual pueden obtener desde el siguiente enlace.
Hecha la descarga deben de instalar el paquete con su gestor de paquetes preferido o desde la terminal lo pueden hacer con el siguiente comando:
[sourcecode text="bash"]sudo rpm -i google-chrome-stable_current_x86_64.rpm[/sourcecode]
Para el caso de Arch Linux y sistemas derivados de este, tales como Manjaro, Antergos y demás, podemos instalar la aplicación desde los repositorios de AUR.
Simplemente deben de teclear en la terminal el siguiente comando:
[sourcecode text="bash"]yay -S google-chrome[/sourcecode]