Actualizar. Ahora. Este minuto. No vayas hasta que lo hagas. Ese fue el mensaje agresivo de Google el jueves. Un exploit de día cero estaba en juego contra el navegador Chrome y no había margen de maniobra para que los usuarios lo ignoraran hasta que estuvieran de mejor humor.

Para el jueves, Fossbytes , ZDNet y otros sitios de observación de tecnología estaban en toda la historia. Chrome es un navegador muy popular y Google tiene bastante éxito en su marca como guardián relativamente seguro de Chrome. Así que cualquier historia en sentido contrario se convirtió en noticia instantánea.

Estaba seguro si su verificación de actualización para ver si tenía la última aparecía como la versión 72.0.3626.121.

¿Quién había descubierto la falla de seguridad CVE-2019-5786? Se nombró a Clement Lecigne del Grupo de Análisis de Amenazas de Google.

Lecigne escribió en el Blog de seguridad de Google. "Para remediar la vulnerabilidad de Chrome (CVE-2019-5786), Google lanzó una actualización para todas las plataformas Chrome el 1 de marzo; esta actualización se envió a través de la actualización automática de Chrome. Recomendamos a los usuarios que verifiquen que la actualización automática de Chrome ya haya actualizado Chrome a 72.0.3626.121 o posterior ".

Entonces, estaban hablando del tipo de hazaña "en la naturaleza, " desconocido, sin parche, capaz de desencadenar complicaciones.

Como Kaspersky Lab explica el significado de día cero, "Por lo general, los creadores del programa se apresuran a crear una solución que mejora la protección del programa, sin embargo, a veces, los piratas informáticos se enteran primero de la falla y se apresuran a explotarla. Cuando esto pasa, hay poca protección contra un ataque porque la falla del software es muy nueva ".

O, como Seguridad desnuda lo pone se trata de "una vulnerabilidad que los chicos malos descubrieron cómo explotar antes de que los chicos buenos pudieran encontrarla y parchearla ellos mismos, donde" incluso los administradores de sistemas mejor informados tenían cero días durante los cuales podrían haber parcheado proactivamente ".

Este no fue un experimento divertido; Google estaba al tanto de la vulnerabilidad que se estaba explotando en la naturaleza. Andrew Whalley tuiteó:Tómate un momento para comprobar que estás ejecutando la última versión de Chrome.

Justin Schuh, Responsable de seguridad de Google Chrome, También estaba sonando la trompeta para que los usuarios de Chrome buscaran la actualización. Su tweet del 5 de marzo fue un anuncio público de que no estamos jugando:"... en serio, actualice sus instalaciones de Chrome ... como en este mismo momento. "¿Por qué? ¿cual es la prisa? Porque Chrome Zero-Day estaba bajo ataques activos. Catalin Cimpanu en ZDNet dijo que el error parcheado estaba bajo ataques activos en el momento del parche.

Adash Verma en Fossbytes dijo, "Si bien los detalles son escasos, sabemos que la falla tiene que ver con la administración de la memoria en el lector de archivos de Chrome, que es una API que permite a las aplicaciones web leer el contenido de los archivos almacenados en las computadoras de los usuarios ".

Schuh tuiteó:"Este exploit más reciente es diferente, en esa cadena inicial apuntó directamente al código de Chrome, y, por lo tanto, requería que el usuario reiniciara el navegador después de descargar la actualización ".

¿A qué nivel estaba la amenaza CVE-2019-5786? se ha etiquetado como "Alto". ZDNet dijo que Google describió la falla de seguridad como un error de administración de memoria en FileReader de Google Chrome, una API web que permite que las aplicaciones web lean el contenido de los archivos almacenados en la computadora del usuario.

Esto es lo que Abner Li explicó en 9to5Google . "Este ataque en particular involucra la API FileReader que permite que los sitios web lean archivos locales, mientras que la clase de vulnerabilidades 'Use-after-free' (en el peor de los casos) permite la ejecución de código malicioso ".

Qué significa eso, vulnerabilidad use-after-free? Aparece un tipo de error de memoria cuando una aplicación intenta acceder a la memoria después de que se ha liberado / eliminado de la memoria asignada de Chrome, dijo Cimpanu. Agregó que el flujo incluía un error de administración de memoria en FileReader de Google Chrome. Cimpanu dijo que la API web se incluyó en los principales navegadores mediante los cuales las aplicaciones web leen el contenido de los archivos almacenados en la computadora del usuario.

Dijo que un manejo incorrecto de este tipo de operación de acceso a la memoria puede llevar a la ejecución de código malicioso.

Largo y corto, Google presentó una solución para la falla del día cero. ya se ha emitido una solución

Google declaró que "el acceso a los detalles y enlaces de errores puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución. También mantendremos restricciones si el error existe en una biblioteca de terceros de la que otros proyectos dependen de manera similar, pero aún no lo he arreglado ".

En la imagen de seguridad del navegador más grande, Es probable que los observadores de tecnología sigan considerando a Chrome como uno de los más seguros. DataHand señaló que "el gigante de los motores de búsqueda ha invertido muchos recursos en la protección del navegador en los últimos años y no ha habido muchas violaciones de seguridad".

Sin embargo, el entorno de seguridad tiene que sobrevivir con una regla fundamental:nunca digas nunca a la posibilidad de nuevos ataques. ¿Qué navegador es completamente infalible? Vale la pena ver, aunque, es lo hábiles que pueden ser los propietarios de navegadores para abordar amenazas y emitir soluciones.

Ryan Whitwam, ExtremeTech :"Los navegadores contienen gran parte de nuestra vida digital ahora que cualquier vulnerabilidad es potencialmente desastrosa. Afortunadamente, Es muy raro que las personas nefastas en línea detecten una vulnerabilidad grave ante Google o la seguridad externa. investigadores ... Fue el propio Grupo de Análisis de Amenazas de Google el que detectó la falla en Chrome el 27 de febrero ".

© 2019 Science X Network