Hacen pública una grave vulnerabilidad RCE en Google Chrome

Escrito por Rubén Velasco

Google Chrome es el navegador web más utilizado en todo el mundo, por lo que la seguridad de este navegador es algo crítico para Google. La compañía cuenta con un programa Bug Bounty gracias al cual expertos de seguridad externos de la compañía ayudan a Google, a cambio de una recompensa, a encontrar posibles fallos de seguridad y a hacer que el navegador sea cada vez más seguro. Gracias a este programa de recompensas, la compañía ha sido capaz de detectar y solucionar fallos de seguridad bastante graves como el que vamos a explicar a continuación.

Hace algunas horas, los expertos de seguridad de BeyondSecurity hacían pública esta nueva y grave vulnerabilidad para Google Chrome. Este fallo de seguridad “type confusion” se debe a una mala configuración del compilador TurboFan y hace que el navegador pueda acceder de forma incorrecta al array de un objeto o a un array de valores, pudiendo cargar información en la memoria de posiciones incorrectas e incluso escribir en partes de la memoria donde no debería.

Los investigadores de seguridad que detectaron el fallo se lo reportaron a Google, quien lo confirmó y solucionó en apenas unos días. Con el lanzamiento de Google Chrome 60, el fallo de seguridad ya se solucionó, aunque no ha sido hasta ahora cuando se ha dado a conocer para evitar que piratas informáticos pudieran utilizarlo para poner en peligro a los usuarios mientras todos los usuarios actualizaban sus navegadores.

Podemos ver en detalle cómo funciona esta vulnerabilidad, así como unos conceptos de cómo debería ser el exploit para poder explotarla, en el siguiente enlace.

Cómo protegernos de esta grave vulnerabilidad de ejecución de código remoto de Google Chrome

Como hemos explicado, la vulnerabilidad ya fue solucionada con el lanzamiento de la versión 60 del navegador, por lo que actualizando a esta versión directamente quedaremos protegidos de esta vulnerabilidad. Si nuestro navegador funciona con normalidad, lo más probable es que ya estemos actualizados a esta versión, pero si utilizamos navegadores de terceros, portables o modificados tendremos que actualizar a mano.

Podemos comprobar la versión de Google Chrome instalada tecleando en la barra de direcciones “chrome://settings/help” y comprobar la versión del navegador instalada.

Versión Google Chrome instalada

Google no tiene intenciones de lanzar un parche menor para solucionar este fallo de seguridad en la versión 59 (ni en las anteriores, que probablemente también sean vulnerables) del navegador, por lo que, repetimos, la única forma de protegernos de este fallo de seguridad es asegurarnos de que nuestro navegador está actualizado a la versión 60 o posterior.

¿Qué opinas de este fallo de seguridad en Google Chrome?

Últimos análisis

Valoración RZ
8
Valoración RZ
8
Valoración RZ
8
Valoración RZ
10
Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10