TLP: Amber
NIVEL DE RIESGO CVSS v3.1 – 9.8 [Crítico]
Acción Requerida: Aplicar las actualizaciones de seguridad publicadas por Microsoft y Google a los sistemas afectados.
Vector de ataque: Remoto.
Impacto: Ejecución de código.

Descripción

Microsoft y Google han publicado actualizaciones de seguridad para corregir varias vulnerabilidades presentes en sus navegadores Web: “Edge” (basado en Chromium) y en “Chrome”. Los identificadores asignados a estas fallas son los siguientes:

  1. CVE-2021-21106 (CVSS v3.1: 9.8 [Crítico])
  2. CVE-2020-15995 (CVSS v3.1: 8.8 [Alto])
  3. CVE-2021-21107 [Alto]
  4. CVE-2021-21108 [Alto]
  5. CVE-2021-21109 [Alto]
  6. CVE-2021-21110 [Alto]
  7. CVE-2021-21111 [Alto]
  8. CVE-2021-21112 [Alto]
  9. CVE-2021-21113 [Alto]
  10. CVE-2021-21114 [Alto]
  11. CVE-2021-21115 [Alto]
  12. CVE-2021-21116 [Medio]

La falla CVE-2021-21106 puede permitir que un usuario malicioso remoto comprometa un dispositivo y escape de la “sandbox”, un ambiente del navegador donde se ejecuta código no confiable para que la computadora permanezca protegida en caso de que ocurra alguna actividad maliciosa, enviando una solicitud HTML especialmente diseñada.

La vulnerabilidad CVE-2020-15995 es causada por una escritura fuera de los límites en V8 (motor de código abierto para JavaScript y WebAssembly, creado por Google), la cual puede ocasionar que un usuario malicioso corrompa la memoria de un dispositivo, a través del envío de una solicitud HTML.

Los errores CVE-2021-21107, CVE-2021-21108, CVE-2021-21109 y CVE-2021-21110 pueden permitir que un usuario malicioso envíe una solicitud HTML especialmente diseñada y escape de la “sandbox”.

La vulnerabilidad CVE-2021-21111 es causada por una insuficiente aplicación de políticas en “WebUI”, parte de la interfaz de usuario en Google Chrome, la cual puede ocasionar que un usuario instale una extensión maliciosa para realizar un escape de la “sandbox”.

Las fallas CVE-2021-21112 y CVE-2021-21113 están presentes en Blink, motor de renderizado desarrollado por Google, y en Skia, biblioteca de gráficos de código abierto, respectivamente, las cuales pueden causar que un usuario corrompa la memoria de un dispositivo mediante el envío de una solicitud HTML.

CVE-2021-21114, CVE-2021-21115 y CVE-2021-21116 pueden ocasionar que un atacante remoto escape de la “sandbox” mediante una solicitud HTML especialmente diseñada.

Hasta el momento, solo las fallas CVE-2021-21106 y CVE-2020-15995 tienen asignados un valor de CVSS.

Nivel de riesgo

  • CVSS v3.1: 9.8 [Crítico]
  • CVSS v3.1: 8.8 [Alto]
  • [Alto]
  • [Medio]

Sistemas/tecnologías afectadas

  • Versiones anteriores a 87.0.664.75 de Microsoft Edge
  • Versiones anteriores a 87.0.4280.141 de Google Chrome en Windows
  • Versiones anteriores a 87.0.4280.141 de Google Chrome en MacOS
  • Versiones anteriores a 87.0.4280.141 de Google Chrome en Linux

Medidas de erradicación

A continuación, se listan las actualizaciones publicadas por Microsoft y Google para corregir las fallas reportadas en esta alerta:

  • Microsoft Edge 87.0.664.75
  • Google Chrome 87.0.4280.141 para Windows
  • Google Chrome 87.0.4280.141 para MacOS
  • Google Chrome 87.0.4280.141 para Linux

Referencias