Vulnerabilidad de día cero de Google Chrome
ANÁLISIS
La vulnerabilidad identificada como CVE-2021-37973 existe debido a un error use after-freeal procesar el contenido HTML dentro del componente portalsen Google Chrome. Con ello, un atacante remoto puede crear un sitio web especialmente diseñado, engañar a la víctima para que lo visite, desencadenar un error de este tipo y ejecutar código arbitrario en el sistema. Además, la explotación exitosa de la vulnerabilidad puede permitir a un atacante comprometer el sistema vulnerable.
No obstante, aunque la vulnerabilidad no tiene asignada una puntuación CVSS3.0 oficial, está siendo evaluada de gravedad alta-crítica.
De igual modo, no se han publicado pruebas de concepto (PoC) con los detalles del fallo descubierto.
Por otro lado, se indican a continuación los recursos afectados[2]:
- - Microsoft Edge (Chromium-based) versiones 0.961.52 y anteriores
- - Versiones de Google Chrome anteriores a la 94.0.4606.61
RECOMENDACIONES
Ya que por el momento no se conocen medidas de mitigación alternativas a esta vulnerabilidad, para hacer frente al riesgo asociado a la misma, se recomienda a los usuarios de Chrome que actualicen a la última versión (94.0.4606.61) para Windows, Mac y Linux [3].
Asimismo, se aconseja a los usuarios y administradores de sistemas que apliquen los parches de seguridad en la mayor brevedad posible una vez se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos [2].
REFERENCIAS
[1] https://www.welivesecurity.com/2021/09/27/google-releases-emergency-fix-plug-zero-day-hole-chrome/
[2] https://www.ccn-cert.cni.es/en/updated-security/warnings-ccn-cert/11282-ccn-cert-av-24-21-actualizacion-de-seguridad-para-google-chrome.html
[3] https://us-cert.cisa.gov/ncas/current-activity/2021/09/24/google-releases-security-updates-chrome