Descubren una grave vulnerabilidad en Google Chrome que está siendo explotada

Las versiones para Windows y Android de Google Chrome están afectadas por una grave vulnerabilidad hallada en el soporte de WebRTC, el protocolo de comunicaciones de código abierto que permite transmitir audio y vídeo a través de páginas web y aplicaciones.

Para exponer los detalles, el fallo de seguridad zero-day (desconocida anteriormente por las partes interesadas en corregirlo) se apoya en un desbordamiento de búfer en WebRTC. Debido a que la vulnerabilidad ha sido etiquetada como de severidad alta, Google no ha publicado información al respecto y parece que no lo hará hasta que el parche sea ampliamente distribuido entre los usuarios de Chrome para Windows y Android.

Si la vulnerabilidad es explotada con éxito, un sitio web malicioso podría tomar el control de toda la computadora (los smartphones también son computadoras, por si alguien anda despistado). Afortunadamente el parche ya ha empezado a ser distribuido, más concretamente en las versiones 103.0.5060.114 en Windows y 103.0.5060.71 en Android. En el sistema de Microsoft, si se usa Chrome de forma regular, la actualización debería de llegar de forma automática mientras se usa la aplicación, pero en caso extremo es posible forzar el proceso yendo al menú > Ayuda > “Información de Google Chrome” y como último recurso queda desinstalar la aplicación y volverla a instalar.

Las versiones para Windows y Android de Google Chrome están afectadas por una grave vulnerabilidad hallada en el soporte de WebRTC, el protocolo de comunicaciones de código abierto que permite transmitir audio y vídeo a través de páginas web y aplicaciones.

Para exponer los detalles, el fallo de seguridad zero-day (desconocida anteriormente por las partes interesadas en corregirlo) se apoya en un desbordamiento de búfer en WebRTC. Debido a que la vulnerabilidad ha sido etiquetada como de severidad alta, Google no ha publicado información al respecto y parece que no lo hará hasta que el parche sea ampliamente distribuido entre los usuarios de Chrome para Windows y Android.

Si la vulnerabilidad es explotada con éxito, un sitio web malicioso podría tomar el control de toda la computadora (los smartphones también son computadoras, por si alguien anda despistado). Afortunadamente el parche ya ha empezado a ser distribuido, más concretamente en las versiones 103.0.5060.114 en Windows y 103.0.5060.71 en Android. En el sistema de Microsoft, si se usa Chrome de forma regular, la actualización debería de llegar de forma automática mientras se usa la aplicación, pero en caso extremo es posible forzar el proceso yendo al menú > Ayuda > “Información de Google Chrome” y como último recurso queda desinstalar la aplicación y volverla a instalar.

Por su parte, en Android las aplicaciones son actualizadas a través de las aplicación de Play Store si no se ha instalado ninguna ROM personalizada, ya que, de ser así, posiblemente la tienda de Google haya sido reemplazada por otra como F-Droid. Pero en caso de mantener la implementación de Android suministrada por el fabricante del smartphone, los pasos a seguir son abrir la aplicación de la Play Store y hacer clic sobre el icono del usuario en la esquina superior derecho para luego hacer lo mismo sobre “Gestionar apps y dispositivo”. Una vez se haya accedido a la sección hay que pulsar sobre “Actualizar todo”.

Mantener el software al día es muy importante para evitar las vulnerabilidades, si bien esto no es la panacea debido a que los actores maliciosos se guardan en muchas ocasiones las vulnerabilidades de forma que no son conocidas entre el público ni el desarrollador o la desarrolladora, por lo que termina convirtiéndose en una zero-day.

Además de la vulnerabilidad de afecta a WebRTC, Google ha corregido otras, entre las que está una de confusión de tipos que afecta a V8, el motor de JavaScript de Chromium (y Chrome). El gigante de Mountain View tiene constancia de que la vulnerabilidad que afecta a WebRTC ha sido explotada, así que recomendamos actualizar Google Chrome cuanto antes si todavía no se han recibido la versiones mencionadas o superiores.

Publicado por Alberto Marín Rubio

Técnico informático, apasionado del Hardware y de la buena música.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Conectando a %s

A %d blogueros les gusta esto: