Vulnerabilidades K2

Contacto

Martes, 05 Noviembre 2019 11:49

Vulnerabilidades en Google Chrome

El departamento de Inteligencia de Entelgy Innotec Security avisa de la publicación de vulnerabilidades en el navegador Google Chrome.

Nivel de criticidad: alto

El pasado 31 de octubre, Google Chrome, popular software de navegación web, publicó un aviso notificando sobre el lanzamiento de una actualización de que corrige dos vulnerabilidades. Por el momento, Google ha decidido reservarse los detalles técnicos de las mismas. No obstante, ha realizado una breve descripción de dichas vulnerabilidades:

  • CVE-2019-13720 

Se ha detectado la existencia de una prueba de concepto (PoC) disponible, así como su explotación activa en la red. Se trata de una vulnerabilidad de tipo use-after-free que reside en las funciones de audio del navegador. Estos ataques han recibido el nombre de Operation WizardOpium, y, por el momento, no le ha sido atribuido a ningún grupo de APT.

  • CVE-2019-13721

Reside en el componente PDFium y también se trata de un use-after-free.

De momento, la base de datos del NIST no ha registrado las vulnerabilidades en su base de datos, por lo que, aún no han sido analizadas ni recibido puntuación de acuerdo a la escala CVSSv2.

Recursos afectados

Las vulnerabilidades afectan a todas las versiones anteriores a la 78.0.3904.87 de Google Chrome, sin incluir.

Solución a la vulnerabilidad

Para solucionar las vulnerabilidades, se recomienda actualizar a la última versión estable disponible, Google Chrome 78.0.3904.87

En caso de dudas, se recomienda seguir las instrucciones ofrecidas por el fabricante para llevar a cabo la instalación.

Recomendaciones

El equipo de Inteligencia de Entelgy Innotec Security  recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no se han detectado medidas de mitigación alternativas a las ofrecidas por el fabricante para solucionar las vulnerabilidades.

Referencias

Comparte

S5 Box