La última actualización de Google Chrome (la 86.0.4240.111, lanzada en el canal 'estable' hace unas horas) tiene como objeto parchear cinco agujeros de seguridad, incluyendo una vulnerabilidad de 'día cero'. Y si eres usuario de este navegador, ya sea en Windows, Mac o Linux, deberías actualizarlo lo antes posible.
Los ataques de día cero o 'zero-day' son aquellos que permiten ejecutar código malicioso aprovechando una vulnerabilidad desconocida tanto para los usuarios como para el fabricante. Un desconocimiento que, en este caso, ya ha permitido el secuestro de varios equipos por parte de los ciberdelincuentes que descubrieron en primer lugar dicha vulnerabilidad.
Aquí vemos un Google Chrome listo para actualizarse a la última versión.⠀ Una tipografía puede dejar tu equipo en manos de un atacante⠀ Ésta fue finalmente descubierta el 19 de octubre por los investigadores de ciberseguridad del Google Project Zero y bautizada como CVE-2020-15999: consiste, fundamentalmente, es un defecto de corrupción de memoria llamado desbordamiento de búfer en el montículo de datos (o, meramente, desbordamiento de montículo) que permite tomar el control de los equipos afectados.
El problema es que esta vulnerabilidad está relacionada con Freetype, una popular biblioteca de desarrollo de software open source que permite gestionar la representación de fuentes tipográficas en el software y que viene empaquetada en Chrome... así como en muchos otros proyectos de software libre.
Por ello, el líder de Project Google Zero ha animado a los desarrolladores que hacen uso de dicha biblioteca a que implementen el código liberado por ellos para evitar sufrir ataques como el sufrido por Chrome, basados en el uso de fuentes con imágenes PNG incrustadas: si el ancho o el alto de dichas imágenes es "mayor de 65535, el búfer asignado no podrá ajustarse al mapa de bits".
Además de eso, Chrome ha aprovechado esta actualización para parchear otras cuatro vulnerabilidades, tres de las mismas calificadas 'de alto riesgo', y relacionadas con aspectos como el motor de renderizado, el lector de PDF o el sistema de impresión.
Fuente: somoslibres
