Nivel de Criticidad: ALTO
Google Chrome, popular software de navegación web, ha lanzado su versión 80 estable para Windows, Mac y Linux, que contiene varias correcciones y mejoras, según indican en su publicación oficial.
Dentro de las correcciones que incluye esta nueva versión de Chrome, se encuentra el CVE-2020-6406, al cual se le ha otorgado una criticidad alta, ya que se trata de una vulnerabilidad del tipo “user after free” (uso de memoria previamente liberada). El fallo reside en el módulo de audio de Chrome y podría permitir a un atacante remoto provocar una corrupción de memoria que daría la posibilidad de ejecutar código arbitrario a través de una página HTML especialmente diseñada.
La base de datos del NIST ha calificado el CVE-2020-6406 con una criticidad de 9.3 según CVSSv2, dado que el fallo es explotable de forma remota, con una complejidad media, sin ningún tipo de autenticación y un ataque exitoso tendría un impacto completo. Por el momento no se conoce actividad maliciosa en la red ni la disponibilidad de exploits relacionados con esta vulnerabilidad.
Recursos afectados
- La vulnerabilidad afecta a todas las versiones anteriores a la 80.0.3987.87 de Google Chrome.
Solución a la vulnerabilidad
Para solucionar la vulnerabilidad se recomienda actualizar a la última versión estable, Google Chrome 80.0.3987.87, disponible aquí para su descarga.
En caso de dudas, se recomienda seguir las instrucciones ofrecidas por el fabricante para llevar a cabo la instalación.
Recomendaciones
El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, se desconocen medidas de mitigación alternativas a la propia actualización lanzada por Google, para solucionar esta vulnerabilidad.
Referencias
