Ayer mismo, Google anunciaba el lanzamiento de una nueva versión de su navegador de Google: Chrome 89. Además de una serie de novedades y cambios, como siempre, esta versión incluía una serie de parches de seguridad lanzados para proteger a los usuarios de las últimas vulnerabilidades detectadas en el navegador. Sin embargo, lo que Google no dijo fue que una de estas vulnerabilidades era grave, de día cero y que grupos de piratas ya estaban usándola alrededor de Internet para atacar a los usuarios.
Ha pasado exactamente un mes desde que Google tuvo que lanzar un parche de emergencia para Google Chrome con el que solucionar un grave fallo de seguridad 0-day que estaba siendo explotado a través de Internet. Y ahora, esto se vuelve a repetir en el navegador web más usado en todo el mundo.
Un 0-day explotado en todo el mundo
Uno de los fallos que solucionaba el nuevo Chrome 89 viene registrado como CVE-2021-21166. Aparentemente, el fallo, aunque grave, parece inofensivo, ya que se encuentra en el componente de audio del navegador. Sin embargo, Google ha admitido haber detectado un exploit en la red diseñado especialmente para atacar a los usuarios con este navegador.
Si además tenemos en cuenta que el error fue reportado por el investigador de seguridad a principios de febrero, con el lanzamiento de Chrome 88, la negligencia por parte de Google es mucho mayor. De haberlo solucionado en uno de los parches que lanzó para el navegador hubiéramos ahorrado víctimas.
La compañía no ha dado absolutamente ningún detalle más sobre la vulnerabilidad. Por lo tanto, no sabemos exactamente qué se puede hacer con ella, ni el alcance que ha tenido el exploit. Hasta que la mayor parte de los usuarios haya actualizado, y sea imposible seguir explotando la vulnerabilidad, la compañía no va a dar más datos.
Chrome ya no es tan seguro
Uno de los puntos fuertes de Chrome siempre ha sido la seguridad. No es el navegador que más innova, ni el más ligero. Y, por supuesto, tampoco es el más privado. Pero sí que sabía cuidar la seguridad. Sin embargo, últimamente parece que la cosa está cambiando.
Cualquier software es vulnerable, eso no podemos negarlo. Sin embargo, dejar más de un mes una vulnerabilidad conocida en el aire es una negligencia muy grave. Además, no es el primer fallo que ha puesto a los usuarios en peligro en los últimos 6 meses. El mes pasado, sin ir más lejos, solucionó un fallo grave en el motor V8 de JavaScript. Y entre octubre y noviembre de 2020 ni más ni menos que 5 fallos muy graves de día cero que, igualmente, estaban siendo explotados de forma masiva.
Si Chrome pierde la baza de la seguridad, ¿qué motivos quedan para seguir usándolo?
Asegura tu navegador: actualiza a Google Chrome 89
Para evitar caer en las garras de los piratas informáticos por culpa de este fallo de día cero, solo tenemos dos opciones. La primera de ellas es cambiar de navegador y empezar a usar otro (demasiado radical), y la segunda, asegurarnos de tener Chrome actualizado a la versión 89, lanzada ayer mismo.
Aunque debería actualizarse automáticamente, podemos forzar la actualización manualmente entrando en Menú > Ayuda > Información de Google Chrome. El navegador comprobará si hay alguna actualización y, si la hay, bajará e instalará la nueva versión automáticamente. En pocos segundos tendremos que reiniciar el navegador y ya estaremos protegidos.