Como parte de los servicios de Ciberseguridad de Open IT nos encargamos de reportar vulnerabilidades conocidas y remediarlas (o colaborar en su remediación), sobre los activos que puedan generar incidencias que afecten a nuestros clientes.

El siguiente CVE (registro de vulnerabilidades de seguridad conocidas) reporta una vulnerabilidad, la cual se describe líneas abajo.

CVE-ID: CVE-2020-6407/6418

Resumen:

Google lanzó ayer una nueva actualización crítica de software para su navegador web Chrome para PC de escritorios, que se implementará para usuarios de Windows, Mac y Linux en los próximos días.

Se reveló la vulnerabilidad de desbordamiento de enteros en privado a Google el mes pasado, lo que le valió $ 5,000 en recompensas, mientras que las otras dos vulnerabilidades, CVE-2020-6407 y CVE-2020-6418, fueron identificadas por expertos del equipo de seguridad de Google.

Google ha dicho que CVE-2020-6418, que se deriva de un error de confusión de tipos en su motor de renderizado V8 JavaScript, está siendo explotado activamente, aunque la información técnica sobre la vulnerabilidad está restringida en este momento.

No se ha revelado más detalles sobre las vulnerabilidades, por lo que ofrece a los usuarios afectados suficiente tiempo para instalar la actualización de Chrome y evitar que los cibercriminales exploten las mismas.

Una explotación exitosa del desbordamiento de enteros o defectos de escritura fuera de los límites podría permitir a un atacante remoto comprometer un sistema vulnerable engañando al usuario para que visite una página web especialmente diseñada que aprovecha el exploit para ejecutar código arbitrario en el sistema de destino.

Impacto:

Phishing y Robo de información.

Productos afectados: 

Todas las versiones de Chrome para Windows, Mac y Linux.

Soluciones:

Actualizar a ultima versión de Chrome.

Fuente:

https://chromereleases.googleblog.com/2020/02/stable-channel-update-for-desktop_24.html

Ante cualquier consulta estamos a disposición.