Nivel de criticidad: alto
El pasado 31 de octubre, Google Chrome, popular software de navegación web, publicó un aviso notificando sobre el lanzamiento de una actualización de que corrige dos vulnerabilidades. Por el momento, Google ha decidido reservarse los detalles técnicos de las mismas. No obstante, ha realizado una breve descripción de dichas vulnerabilidades:
- CVE-2019-13720
Se ha detectado la existencia de una prueba de concepto (PoC) disponible, así como su explotación activa en la red. Se trata de una vulnerabilidad de tipo use-after-free que reside en las funciones de audio del navegador. Estos ataques han recibido el nombre de Operation WizardOpium, y, por el momento, no le ha sido atribuido a ningún grupo de APT.
- CVE-2019-13721
Reside en el componente PDFium y también se trata de un use-after-free.
De momento, la base de datos del NIST no ha registrado las vulnerabilidades en su base de datos, por lo que, aún no han sido analizadas ni recibido puntuación de acuerdo a la escala CVSSv2.
Recursos afectados
Las vulnerabilidades afectan a todas las versiones anteriores a la 78.0.3904.87 de Google Chrome, sin incluir.
Solución a la vulnerabilidad
Para solucionar las vulnerabilidades, se recomienda actualizar a la última versión estable disponible, Google Chrome 78.0.3904.87.
En caso de dudas, se recomienda seguir las instrucciones ofrecidas por el fabricante para llevar a cabo la instalación.
Recomendaciones
El equipo de Inteligencia de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, no se han detectado medidas de mitigación alternativas a las ofrecidas por el fabricante para solucionar las vulnerabilidades.
Referencias