TLP: White
Nivel de riesgo: CVSS v3.0: 8.8 [Alto]

Acción Requerida: Aplicar la actualización de seguridad que corrige las vulnerabilidades en Google Chrome.

Vector de ataque: Red, acceso remoto.
Impacto: El aprovechamiento exitoso de estas vulnerabilidades podrían permitir a un atacante ejecutar código de forma remota en el dispositivo afectado.

Descripción

El día 21 de abril del año en curso, Google publicó la versión 81.0.4044.122 del navegador Chrome, la cual está disponible para sistemas operativos Windows, Mac OS y GNU/Linux. Esta versión corrige ocho vulnerabilidades que un atacante podría utilizar para tomar el control del sistema afectado. La actualización de seguridad que Google ha publicado solventa ocho fallas, sin embargo, solo tres se han hecho públicas. Los identificadores asignados a estas vulnerabilidades son:

  1. CVE-2020-6458 CVSS v3.0 – 8.8 [Alta]: Se produce debido a errores en “out-of-bounds” de lectura y escritura presentes en el software de código abierto “PDFium” utilizado por Chrome para visualizar documentos “.pdf”, los cuales permiten leer y/o escribir datos fuera de los límites de la memoria asignada. Un atacante puede diseñar una página Web específica para aprovechar este fallo, engañar al usuario para que acceda a ella, y conseguir ejecutar código arbitrario de forma remota.
  2. CCVE-2020-6459 CVSS v3.0 – 8.8 [Alta]: Esta vulnerabilidad existe debido a un error “use-after-free” (corrupción en la memoria provocada al intentar acceder a esta después de haber sido liberada) en el servicio Google Payments. Un atacante puede diseñar una página Web específica para aprovechar este fallo, engañar al usuario para acceder a ella, y conseguir ejecutar código arbitrario de forma remota, o causar condiciones de Denegación de Servicio (DoS) en el sistema afectado.
  3. CVE-2020-6460 CVSS v3.0 – 8.1 [Alta]: Esta vulnerabilidad se produce debido a la falta de validación de datos enviados en el formato de URL. Un atacante puede diseñar una página Web específica para aprovechar este fallo, engañar al usuario para que acceda a ella, y evitar así las restricciones de seguridad.

Nivel de riesgo

  • CVSS v3.0: 8.8 [Alta]
  • CVSS v3.0: 8.1 [Alta]

Sistemas/tecnologías afectadas:

  • Google Chrome en sus versiones anteriores a 81.0.4044.122

Medidas de erradicación

Para resolver las vulnerabilidades descritas en esta alerta, es necesario actualizar Google Chrome a la versión 81.0.4044.122

Referencias