TLP: Amber
NIVEL DE RIESGO – [Alto]
Acción Requerida: Aplicar las actualizaciones publicadas por Google en el navegador Chrome.
Vector de ataque: Remoto.
Impacto: Ejecución de código.

Descripción

El día de ayer, Google publicó una nueva versión de Chrome para corregir dos nuevas vulnerabilidades de día cero, recién descubiertas, las cuales afectan a los sistemas Windows, Linux y MacOS.

Estas dos fallas son la cuarta y quinta vulnerabilidad de día cero que Google ha tenido que corregir en Chrome en las últimas tres semanas. Los identificadores asignados a estas fallas son:

  1. CVE-2020-16013 – [Alto]
  2. CVE-2020-16017 – [Alto]

El primer error es causado por una implementación inapropiada en “V8”, código abierto creado por Google para JavaScript.

La falla CVE-2020-16017 es ocasionada por un acceso inadecuado a la memoria, más específicamente, una corrupción en “Site Isolation”, componente de Chrome que aísla los datos de cada sitio entre sí.

Ambas vulnerabilidades pueden permitir que un usuario malicioso cree una página Web especialmente diseñada para engañar a la víctima, aproveche los fallos y ejecute código en el sistema afectado.

Hasta el momento se desconoce si las dos vulnerabilidades han sido utilizadas juntas o de manera individual. Además, a la fecha no se han dado detalles sobre los ataques en los cuales se están utilizando, sin embargo, se recomienda a los usuarios actualizar sus sistemas lo más pronto posible.

Nivel de riesgo

  • Alto

Sistemas/tecnologías afectadas

  • Google Chrome anteriores a v86.0.4240.198

Medidas de erradicación

Referencias