Actualización crítica para Chrome y Chromium

ANÁLISIS

Un reporte del equipo de seguridad de Red Hat ([1]) informa de una actualización, evaluada como crítica, para la versión Chromium en Red Hat Enterprise Linux (RHEL). Esta actualización establece la versión 84.0.4147.105 tanto para el navegador Chromium, como para Chrome. Dicha actualización soluciona un conjunto considerablemente amplio de problemas de seguridad que afectan a ambos navegadores hasta la versión 84.0.4147.89. El conjunto de soluciones tratan las 31 vulnerabilidades descritas y asignadas a los CVEs comprendidos entre CVE-2020-6510 y CVE-2020-6541, ambos inclusive, y que han sido publicados a lo largo del último mes. De estas vulnerabilidades, una de ellas ha sido evaluada como crítica con una puntuación cvss3 de 9.8 (CVE-2020-6522) ([2]) ([3]), 19 tienen una criticidad alta con puntuación cvss3 de 8.8, y otras 11 poseen una criticidad media con puntuaciones cvss3 comprendidas entre 4.3 y 6.5..

Este conjunto de vulnerabilidades hace referencia en su gran mayoría a la explotación de la corrupción de la pila, por medio de distintas vías, como son un stream SCTP, un fichero PDF, una página HTML, o una extensión entre otras.

Los proveedores ya han publicado las actualizaciones necesarias para ambos navegadores.

RECOMENDACIONES

Se recomienda aplicar la solución publicada por el proveedor, actualizando a la versión más reciente (84.0.4147.105) de ambos navegadores, y que solventa las vulnerabilidades señaladas.

REFERENCIAS

[1] https://access.redhat.com/errata/RHSA-2020:3377
[2] https://nvd.nist.gov/vuln/detail/CVE-2020-6522
[3] https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-6522