Google acaba de lanzar un actualización importante para Chrome, dentro de la versión 80.0.3987.122 de la aplicación del navegador para los sistemas operativos Windows, Mac y Linux, pero no también Chrome OS, iOS y Android. Con esta actualización, Google pasa a cerrar tres peligrosas fallas de "día cero", uno de los cuales está siendo utilizado actualmente por piratas informáticos para llevar a cabo ataques.
La vulnerabilidad en cuestión fue clasificado como CVE-2020-6418 y se trata del motor JavaScript de Chrome, el llamado componente V8. La falla es un error de "confusión de tipos": un error de código en el que una aplicación inicia operaciones de ejecución de datos utilizando la entrada de un "tipo" específico, pero es engañada para tratar la entrada como un "tipo" "diferente. Este error hace que la memoria administrada por el navegador genere errores y puede llevar a situaciones en las que un hacker, que conoce el defecto y sabe cómo explotarlo, puede ejecutar código malicioso dentro del programa sin que nadie pueda detenerlo.
Ataque en curso
El peligro de la Vulnerabilidad CVE-2020-6418 parecería muy alto, también por el hecho de que la propia Google admite que se están realizando ataques que la explotan. Sin embargo, no tenemos detalles sobre quién, cómo, dónde y cuánto está explotando CVE-2020-6418 porque Google ha sellado la información. En la página del sitio Chromium Project relacionada con esta vulnerabilidad, de hecho, solo se puede leer una cosa: "Permiso denegado", permiso denegado. Es probable que se publique más información sobre esta vulnerabilidad en el futuro después de que los usuarios hayan tenido tiempo de aplicar parches contenida en la actualización incluida en el Versión de Chrome 80.0.3987.122.
Tercer caso en un año
La Vulnerabilidad CVE-2020-6418 representa el tercer caso de un error de "día cero" de Chrome que ha sido explotado por piratas informáticos en el último año. Google parcheó previamente el El primer día cero de Chrome en marzo del año pasado (CVE-2019-5786 en Chrome 72.0.3626.121), y luego un segundo en noviembre (CVE-2019-13720 en Chrome 78.0.3904.8). A vulnerabilidad de día cero consiste en un problema en el código de una aplicación que no se detectó en el momento de escribir el código y que solo se descubre más adelante. Por lo tanto, todas las aplicaciones desactualizadas contienen la vulnerabilidad y, en consecuencia, siempre es mejor no revelar mucha información al respecto antes de que la mayoría de los usuarios hayan actualizado la aplicación y "cerrado" la falla.
Chrome, falla de seguridad descubierta, actualice su navegador de inmediato
