Saltar al contenido

Chrome 77 es lanzado con 52 parches de seguridad

chrome-77-es-lanzado-con-52-parches-de-seguridad

Google lanzó hace pocos días la última versión de su popular navegador, Chrome 77, que alcanza la versión estable tras una fase de pruebas (beta). Incluye importantes “apaños” desde el punto de vista de seguridad, nada menos que 52.

Es importante mantener nuestro software actualizado, así conseguiremos detener la mayor parte de los ciberataques que acceden mediante alguna vulnerabilidad conocida.

Problemas de seguridad solventados en Chrome 77

36 de las vulnerabilidades han sido reportadas por investigadores externos. Estas incluyen una vulnerabilidad crítica, 8 de criticidad alta, 17 de tipo medio y 10 de baja severidad.

Tipo crítico y alto

La más importante de las vulnerabilidades (CVE-2019-5870) es de tipo Use-after-free y está localizada en el componente de medios.Este bug fue reportado por Guang Gong del equipo Alpha de Qihoo 360, el pasado 29 de Agosto. No sabemos la recompensa que Google habrá otorgado pero no debe ser pequeña.

El primero de los bugs de severidad Alta corregidos en Chrome 77 es un heap overflow en Skia, con CVE-2019-5871, por el que Google ha pagado 7500 al investigador.

Te puede interesar67 URL secretas de Google Chrome

También se ha corregido otro fallo en Mojo (CVE-2019-5872), un spoofing de la barra de direcciones en Chrome para iOS (CVE-2019-5873) y otro problema con URLs externas en relación a otros navegadores. Cada una de ellas ha valido 3000 dólares al investigador de turno.

Otro problema corregido es un secuestro (spoofing) de la barra de direcciones o URL, vía redirección y descarga: CVE-2019-5875.

Vulnerabilidades de gravedad Media y Baja

Los fallos de gravedades medias incluyen extensiones con capacidad de sobrepasar la política same origin, otro bypass afecta a las cookies Samesite. También existen lecturas arbitrarias en SwiftShader, spoofing de URL, sobreposición forzada de notificaciones en pantalla completa, bypass de CSP, secuestro de IDN y bypass de la tecnología CSRF (Cross Site Request Forgery protection)

Los fallos de seguridad de baja gravedad incluyen, entre otras, la siguiente relación:

  • Spoofing de IDN
  • Desactivación de extensiones por el trailing slash (/)
  • Spoofing del cuadro de diálogo de descargas
  • Spoofing de IP a los servidores
  • Bypass de restricciones de descarga
  • Bypass de aislamiento de sitio (site isolation)

Tu navegador debería actualizar a Chrome 77 de forma desatentida si mantienes los ajustes por defecto. En caso contrario, bastará con que simplemente escribas en la barra de direcciones:

chrome://settings/help

El navegador debería actualizarse una vez abra, pero en caso contrario puedes hacerlo manualmente.

Alejandro Ver todo

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

Deja tu comentario (puedes hacerlo de forma anónima)

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .

A %d blogueros les gusta esto: