Como era de esperar, desde hace años los actores maliciosos tienen entre uno de sus principales objetivos, el navegador Google Chrome. No en vano se trata de una de las soluciones software más extendidas y utilizadas en la mayoría de los equipos.
De ahí precisamente que los atacantes intenten aprovechar las vulnerabilidades que aparezcan en este programa y hacerse con los datos de los usuarios. Y ahí es precisamente donde entran en juego las casi constantes actualizaciones que nos envía Google para corregir todos estos fallos de seguridad, intentar protegernos a toda costa.
Para que os hagáis una idea, ahora os vamos a hablar de una reciente vulnerabilidad considerada de alta gravedad a la que han llamado Brash. Todo esto es algo de lo que nos informa el investigador José Pino que revela un grave fallo de seguridad en el motor de renderizado Blink de los navegadores Chromium, donde por supuesto se incluye Google Chrome.
Cómo funciona este grave fallo de seguridad de Chrome
En realidad se trata de una vulnerabilidad detectada en el navegador del gigante de las búsquedas y otros muchos con el mismo motor de renderizado. Así, permite a los atacantes bloquear el programa instantáneamente mediante una única URL maliciosa. Y no solo eso, ya que puede explotarse para bloquear estos programas basados en Chromium, en tan solo cuestión de segundos.
Como nos informa, Brash es una vulnerabilidad crítica del motor de renderizado Blink que impulsa el funcionamiento los navegadores basados en Chromium. De este modo, el fallo permite que cualquier navegador Chromium se bloquee en un lapso entre 15 y 60 segundos al explotar un fallo en la gestión de ciertas operaciones del DOM. La vulnerabilidad abusa de la falta de limitación de velocidad en la API document.title para inundar Chrome, y el resto de navegadores, con millones de actualizaciones del DOM por segundo.
De este modo, lo sobrecarga y provoca el hackeo del programa. Todo ello provoca picos en el uso de la CPU, lo que se traduce en bloqueos y ralentizaciones del sistema operativo por completo. Esto se da en ordenadores de escritorio y dispositivos Android. Es importante saber que la vulnerabilidad afecta potencialmente a más de 3000 millones de usuarios en todo el mundo.
Aunque el impacto directo de Brash es un bloqueo del sistema, expertos en ciberseguridad advierten que estos ataques se utilizan como cortina de humo. Mientras el usuario está distraído intentando recuperar el navegador, un atacante podría lanzar ataques de phishing u ocultar el robo de datos ejecutando scripts en segundo plano.
Así afecta a otros navegadores Chromium
Los expertos en seguridad probaron la vulnerabilidad de Brash en varios navegadores basados en Chromium, y en diferentes plataformas como macOS, Windows y Linux. Todos ellos son vulnerables debido a que el fallo reside en el núcleo del motor de renderizado, Blink. Estos son los tiempos que tardaron en hackear las aplicaciones.
- Chrome: 15-30 segundos.
- Opera: 60 segundos.
- Brave: 30-125 segundos.
- Edge: 15-25 segundos.
- Vivaldi: 15-30 segundos.
- Perplexity Comet: 15-35 segundos.
- ChatGPT Atlas: 15-60 segundos.
- Arc Browser: 15-30 segundos.
Debemos tener en cuenta que otros navegadores, como por ejemplo sucede con Firefox que usa un motor Gecko o Safari, son inmunes al ataque como tal.
El principal peligro que la vulnerabilidad Brash es que puede utilizarse para múltiples tareas maliciosas de graves consecuencias. De hecho, una de sus principales características críticas es su capacidad de poder programarse para ejecutarse en momentos concretos. El atacante puede inyectar el código con un disparador temporal, permaneciendo inactivo hasta un momento exacto.
Para terminar os diremos que esta vulnerabilidad no reside en un código complejo ni en técnicas avanzadas, sino en la falta básica de diseño de un elemento tan extendido como el motor de renderizado Blink que usan miles de millones en sus navegadores web. En estos momentos, Google no ha lanzado un parche oficial para la vulnerabilidad Brash que os contamos. Con todo y con ello es recomendable mantener Chrome actualizado a la última versión para protegernos de otros fallos a la espera de un nuevo parche.
Fuente: softzone
