Google ha parcheado una vulnerabilidad de seguridad Zero Day en su navegador web, mediante la actualización en el canal estable de una nueva versión 86.0.4240.111 de Chrome para Windows, Mac y Linux.
La vulnerabilidad ha sido etiquetada como CVE-2020-15999 y radica en la biblioteca de representación de fuentes FreeType. El fallo es crítico y estaba siendo explotada activamente.
El investigador de seguridad Sergei Glazunov del Google Project Zero, el equipo de seguridad interno que busca este tipo de vulnerabilidades descubrió el error que se clasifica como un tipo de defecto de corrupción de memoria llamado desbordamiento de búfer de pila en FreeType.
Glazunov informó a Google de la vulnerabilidad el lunes y un día después ya estaba resuelta, en una muestra de cómo deben abordarse este tipo de vulnerabilidades críticas sujetas a un plazo de divulgación pública de siete días debido a que estaba bajo explotación activa.
Según los detalles compartidos por Glazunov, la vulnerabilidad existe en la función «Load_SBit_Png» de FreeType, que procesa imágenes PNG incrustadas en fuentes. Los atacantes pueden aprovecharlo para ejecutar código arbitrario simplemente utilizando fuentes diseñadas específicamente con imágenes PNG incrustadas.
Google ha aprovechado la actualización de Chrome para parchear otras cuatro vulnerabilidades, tres de alto riesgo, CVE-2020-16000, CVE-2020-16001 y CVE-2020-16002, y otra de riesgo medio CVE-2020-16003. En los últimos 12 meses, Google ha parcheado tres vulnerabilidades Zero Day en su navegador Chrome.
Debido a la gravedad y explotación de la que afecta a FreeType, se recomienda encarecidamente a los usuarios la instalación de la última versión de Google Chrome o la actualización mediante la función instalada en el navegador en Configuración > Ayuda > Información de Google Chrome.
Créditos: Muy Seguridad