Los equipos de seguridad de Mozilla y Google han anunciado el lanzamiento de diversos parches para corregir algunas vulnerabilidades críticas en sus respectivos navegadores web. Los reportes mencionan que, de ser explotadas, las fallas permitirían a los actores de amenazas tomar control completo de los sistemas comprometidos.
Al parecer ninguna de las fallas ha sido explotada en escenarios reales, aunque lo más recomendable es que los usuarios instalen las actualizaciones lo antes posible. Las actualizaciones deberán instalarse en los sistemas Windows, Linux y Mac sin excepción.
Más de 15 vulnerabilidades en Chrome
Google lanzó la versión 87.0.4280.141 de Chrome, que incluye 16 parches. El reporte de seguridad de la compañía no incluye mayores detalles sobre las fallas abordadas, pues prefieren esperar a que la mayoría de los usuarios actualicen su navegador antes de ahondar en detalles técnicos; al menos 13 de estas fallas fueron reportadas por investigadores externos.
Doce de estas fallas son consideradas críticas, mientras que el resto recibieron puntajes bajos. La mayoría de estas son fallas use-after-free o, en otras palabras, vulnerabilidades de corrupción de memoria que residen en Chromium. Estas fallas podrían ser explotadas si los usuarios visitan sitios web especialmente diseñados para desencadenar la ejecución remota de código en el contexto del navegador vulnerable.
Múltiples versiones vulnerables de firefox
Por su parte, la actualización de Mozilla aborda una falla de seguridad severa (identificada como CVE-2020-16044) presente en todas las versiones de Firefox anteriores a 84.02, Firefox for Android 84.1.3y Firefox ESR 78.6.1. Acorde a la compañía, un par malicioso podría haber modificado un fragmento de COOKIE-ECHO en un paquete del Protocolo de Transmisión de Flujo (SCTP) para conducir a la falla: “Un actor de amenazas podría encontrar la forma de ejecutar código arbitrario en un sistema vulnerable”, agrega Mozilla.
Cabe recordar que SCTP se utiliza para transportar múltiples flujos de datos al mismo tiempo entre dos endpoints conectados a la misma red. La falla existe debido a la forma en la que el protocolo maneja los datos de las cookies.
Créditos: Alisa Esage