El parche de día cero de Chrome contiene 14 importantes correcciones de seguridad

Los usuarios siguen pensando en la versión anterior de Microsoft. Anuncio del martes de parches, que era bastante malo en su opinión, con seis vulnerabilidades en estado salvaje parcheadas.

Sin mencionar el que está enterrado en lo profundo de los vestigios del código de representación web MSHTML de Internet Explorer.

14 correcciones de seguridad en una sola actualización

Ahora, Google lanza Aviso de seguridad de Chrome

, que es posible que desee saber que incluye un parche de día cero (CVE-2021-30551) para el motor JavaScript de Chrome, entre sus otras 14 correcciones de seguridad enumeradas oficialmente.

Para aquellos que aún no están familiarizados con el término, Día cero Es un momento imaginativo, ya que este tipo de ciberataque ocurre en menos de un día desde que se tomó conciencia de la falla de seguridad.

Por lo tanto, no les da a los desarrolladores el tiempo suficiente para erradicar o mitigar los riesgos potenciales asociados con esta vulnerabilidad.

Al igual que en Mozilla, Google también agrupa otros errores potenciales que ha encontrado utilizando métodos genéricos de búsqueda de errores, enumerados como Varias correcciones de auditorías internas, fuzzing y otras iniciativas.

Los fuzzers pueden producir, si no millones, cientos de millones de entradas de prueba durante el período de prueba.

Sin embargo, la única información que necesitan almacenar es en los casos que hacen que el programa se comporte mal o se bloquee.

Esto significa que pueden usarse más adelante en el proceso, como puntos de partida para los cazadores de insectos humanos, lo que también ahorrará mucho tiempo y mano de obra.

Los insectos están siendo explotados en la naturaleza.

Google comienza mencionando el error de día cero, afirmando que son] conscientes de que existe un exploit para CVE-2021-30551 en la naturaleza..

Este error en particular aparece como confusión de tipo en V8, donde V8 representa la parte de Chrome que ejecuta código JavaScript.

La confusión de tipos significa que puede proporcionar a V8 un elemento de datos, mientras engaña a JavaScript para que lo maneje como si fuera algo totalmente diferente, que podría pasar por alto la seguridad o incluso ejecutar código no autorizado.

Como la mayoría de ustedes sabrán, las brechas de seguridad de JavaScript que pueden ser provocadas por el código JavaScript incrustado en una página web, con mayor frecuencia resultan en exploits de RCE o incluso en la ejecución remota de código.

Con todo esto dicho, Google no está aclarando si el error CVE-2021-30551 se puede usar para la ejecución remota de código, lo que generalmente significa que los usuarios son vulnerables a los ataques cibernéticos.

Solo para tener una idea de lo serio que es esto, imagine navegar por un sitio web, sin hacer clic en ningún ventanas emergentes, podrían permitir que terceros malintencionados ejecuten código de manera invisible e implanten malware en su computadora.

Por lo tanto, CVE-2021-30551 solo obtiene una calificación alta, con simplemente un error que no está en la naturaleza (CVE-2021-30544), clasificado como crítico.

Podría ser que el error CVE-2021-30544 tuviera la mención crítica atribuida porque podría ser explotado para RCE.

Sin embargo, no hay ninguna sugerencia de que nadie más que Google, así como los investigadores que lo informaron, sepan cómo hacerlo, por el momento.

La compañía también menciona que el acceso a los detalles de los errores y los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución.

¿Cuál es su opinión sobre el último parche de día cero de Google? Comparta sus pensamientos con nosotros en la sección de comentarios a continuación.