vulnerabilidades
Google ha lanzado una actualización de emergencia para su navegador Chrome que pone solución a tres vulnerabilidades: CVE-2021-37974, CVE-2021-37975 y CVE-2021-37976. Los expertos de Google consideran una de las vulnerabilidades como crítica y las otras dos como altamente peligrosas.
Y lo que es peor: de acuerdo con Google, los ciberdelincuentes ya han explotado dos de estas tres vulnerabilidades. Por lo tanto, Google aconseja a todos los usuarios de Chrome que actualicen el navegador de inmediato a la versión 94.0.4606.71. Estas vulnerabilidades también son relevantes para otros navegadores con base en el motor Chromium; por ejemplo, Microsoft recomienda actualizar Edge a la versión 94.0.992.38.
Por qué son peligrosas estas vulnerabilidades de Google Chrome
La CVE-2021-37974 y la CVE-2021-37975 son vulnerabilidades del tipo use-after-free (UAF), que explotan un uso incorrecto de la memoria heap, lo que a su vez puede resultar en la ejecución de códigos arbitrarios en el ordenador objetivo.
La primera, la CVE-2021-37974, está relacionada con el componente Safe Browsing, un subsistema de Google Chrome que advierte a los usuarios sobre sitios web y descargas de dudosa seguridad. La calificación de gravedad de CVSS v3.1 para esta vulnerabilidad es de 7,7 sobre 10.
La segunda vulnerabilidad, la CVE-2021-37975, se ha encontrado en el motor V8 JavaScript de Chrome y está considerada como la más peligrosa de las tres con un 8,4 en la escala de CVSS v3.1, lo que la convierte en una vulnerabilidad de riesgo crítico. Un grupo de delincuentes desconocidos ya han usado esta vulnerabilidad en sus ataques a los usuarios de Chrome.
La causa de la tercera vulnerabilidad, la CVE-2021-37976, es la sobreexposición de los datos causada por el núcleo de Google Chrome. Está considerada ligeramente menos peligrosa con un 7,2 en la escala CVSS v3.1; sin embargo, los ciberdelincuentes ya la están utilizando también.
Cómo pueden explotar estas vulnerabilidades los ciberdelincuentes
La explotación de estas tres vulnerabilidades requiere la creación de una página web maliciosa. Lo único que los atacantes necesitan es crear un sitio web con una explotación incrustada y una manera de atraer a víctimas. Como resultado, los exploits para estas dos vulnerabilidades use-after-free permiten que los atacantes ejecuten código arbitrario en los ordenadores de los usuarios de Chrome que todavía no hayan instalado el parche y que hayan accedido a la página. Esto puede comprometer su sistema. Un exploit para la tercera vulnerabilidad, la CVE-2021-37976, hace posible que los atacantes obtengan acceso a la información confidencial de la víctima.
Lo más probable es que Google revele más información sobre estas vulnerabilidades después de que la mayoría de los usuarios haya actualizado sus navegadores. En cualquier caso, lo mejor es actualizar lo antes posible y no dejarlo para después.
Cómo mantenerse a salvo
El primer paso para todos es actualizar los navegadores en todos los dispositivos con acceso a Internet. Generalmente, la actualización se instala de forma automática cuando se reinicia el navegador; sin embargo, muchos usuarios no reinician el ordenador durante mucho tiempo, por lo que su navegador podría quedar vulnerable durante días, o incluso semanas. De todas formas, recomendamos comprobar la versión de Chrome. Para ello, sigue estos pasos: haz clic en el botón Personaliza y controla Google Chrome en la esquina superior derecha de la ventana del navegador y elige Ayuda -> Información de Google Chrome. Si la versión de tu navegador no es la más reciente disponible, Chrome iniciará la actualización de forma automática.
Y como protección adicional, recomendamos que los usuarios instalen soluciones de seguridad en todos los dispositivos con acceso a Internet. De esta forma, aunque tu navegador no esté actualizado, las tecnologías de protección proactiva reducirán la posibilidad de la explotación con éxito de cualquier vulnerabilidad.
También recomendamos a los empleados de los departamentos de seguridad de la información utilizar soluciones de seguridad en todos los dispositivos, supervisar las actualizaciones de seguridad y utilizar un sistema de entrega y control de actualizaciones automáticas. También sería razonable priorizar la instalación de las actualizaciones del navegador.
