Global Preloader
Vulnerabilidad
(30/Oct/2017) Google corrige bug en navegador Chrome

Google corrige bug en navegador Chrome

Google insta a los usuarios a actualizar sus navegadores de escritorio Chrome para evitar problemas de seguridad relacionados con una vulnerabilidad de desbordamiento de búfer basado en pila.

Google emitió la alerta el jueves y dijo que se ha lanzado una actualización para la mayoría de los navegadores.

"El canal estable se ha actualizado a 62.0.3202.75 para Windows, Mac y Linux, que se lanzará en los próximos días/semanas", escribió Abdul Syed, un ingeniero de Google Chrome, en un boletín de seguridad del blog de lanzamiento de Chrome de Google.

El error está relacionado con el motor JavaScript de código abierto Chrome V8 utilizado en Windows 7 y posterior, macOS 10.5 y posterior y sistemas Linux que usan procesadores Intel Architecture de 32 bits (i386), ARM o MIPS, según Google.

Google no divulga ningún detalle relacionado con esta vulnerabilidad de desbordamiento del búfer de pila (CVE-2017-15396) indicando que "el acceso a los detalles de los errores y los enlaces se puede mantener restringido hasta que la mayoría de los usuarios se actualicen con una solución. También retendremos restricciones (de divulgación) si el error existe en una biblioteca de terceros de la que otros proyectos dependen de manera similar, pero que aún no han corregido. "Chrome V8 está escrito en C++ y en Node.js y puede integrarse en cualquier C++ aplicaciones o puede ejecutar de forma independiente, de acuerdo con Google.

Este tipo de error generalmente permite a los atacantes ejecutar código arbitrario dentro del contexto de una aplicación específica. Un intento de explotación fallido provoca una condición de denegación de servicio, según una descripción de la vulnerabilidad de OWASP Foundation.

Según un análisis de la vulnerabilidad realizado por investigadores de Risk Based Security, la falla se encuentra en International Components for Unicode para C/C ++, que es una biblioteca utilizada por V8. "En última instancia, si bien afecta a V8 y a Chrome, el código defectuoso no es de Google", según Risk Based Security. La vulnerabilidad, un "desbordamiento del buffer de manejo de búfer terminado en NUL", se hizo público el 11 de octubre, según la firma.

El investigador Yu Zhou, del Ant-Financial Light-Year Security Lab, informó sobre el error el 30 de septiembre. Recibió $3,000 dólares por el descubrimiento a través del programa de recompensas por errores de Google.

En diciembre de 2016, Google también abordó las vulnerabilidades de alta gravedad en el motor de JavaScript V8 de Chrome. Uno de los defectos se describe como una vulnerabilidad de "acceso a la propiedad privada en V8". El otro problema de V8 es un uso después de vulnerabilidad libre en V8.

El Equipo de Preparación para Emergencias Informáticas de los Estados Unidos emitió una alerta para la vulnerabilidad de desbordamiento del búfer el viernes.

El jueves, Google también lanzó una actualización para Chrome para Android (62.0.3202.73) que corrige un error de fuga de memoria y un "gran problema de bloqueo", según el aviso.