La semana pasada no ha sido precisamente buena para los usuarios de Google Chrome. Dos investigadores de seguridad diferentes publicaron en Twitter dos fallos de seguridad, de día cero, que afectaban al motor del navegador. Estos fallos iban acompañados de un exploit público que demostraba cómo era posible ejecutar código a través del navegador, fuera del modo Sandbox. Aunque explotarlos es una tarea bastante complicada, estos dos errores pusieron en evidencia la seguridad del navegador de Google, y los tiempos de respuesta de la compañía. Y, una semana más tarde, finalmente han sido corregidos.
Hace algunas horas, Google publicaba una actualización de emergencia para la versión 90 de Chrome. Esta nueva versión, concretamente la 90.0.4430.85, se trata de un parche de seguridad, por lo que no trae novedades ni mejoras, sino que se centra en corregir 6 errores graves de seguridad que podían poner en peligro la seguridad de los usuarios. Y, entre ellos, se encuentran los fallos divulgados a través de Twitter la semana pasada.
Fallos de seguridad solucionados en Chrome 90.0.4430.85
El fallo de seguridad publicado en Twitter fue registrado como CVE-2021-21224, y tiene una de cal y una de arena. Por un lado, se trata de un fallo de seguridad grave que permite ejecutar código de forma remota en el navegador. Y, por si fuera poco, el investigador que lo descubrió publicó en Twitter un exploit funcional, el cual cualquiera puede coger y modificar a su antojo. Sin embargo, para que tenga éxito el ataque, es necesario que el navegador no se ejecute en modo sandbox, algo que hace siempre por defecto. Por tanto, por sí solo no puede servir de mucho. Pero acompañado de otro fallo que permita salir del sandbox, sí podría ser crítico para la seguridad.
Otro de los fallos de seguridad que ha sido solucionado ha sido CVE-2020-16009. Google no ha facilitado absolutamente ninguna información sobre este error, más allá de admitir que se trata de una vulnerabilidad que está siendo explotada activamente por piratas informáticos. Hasta que la mayoría de los usuarios no haya actualizado el navegador no se dará información sobre este error.
Las otras 4 vulnerabilidades graves solucionadas en esta nueva actualización de emergencia de Chrome 90 son:
- CVE-2021-21222: fallo de desbordamiento de búfer en el motor V8 de JavaScript.
- CVE-2021-21223: fallo de desbordamiento de enteros en Modo.
- CVE-2021-21225: fallo en el motor V8 de JavaScript que permite salir de los límites de la memoria.
- CVE-2021-21226: fallo del tipo «Use after free» que permite acceder a los datos que se generaron en una sesión del navegador una vez ha sido finalizada.
Actualizar el navegador cuanto antes
Como podemos ver, son fallos de seguridad graves que no debemos tomarnos a broma. Especialmente los dos primeros, ya que uno tiene un exploit público (y pueden engañarnos para que ejecutemos el navegador sin sandbox fácilmente), y el segundo está siendo explotado activamente a través de la red. Por lo tanto, es vital actualizar nuestro navegador cuanto antes.
Lo único que debemos hacer para ello es abrir el menú y entrar en el apartado Ayuda > Información de Google Chrome. Aquí podremos ver la versión del navegador que tenemos instalada en el PC. Si esta versión es la 90.0.4430.85, o una superior, estamos protegidos. Si no, la nueva versión debería bajarse automáticamente.
Recordamos que, dado que los fallos pertenecen a Chromium, los demás navegadores (como Edge, Opera o Vivaldi) basados en él también están afectados, y deben actualizarse para proteger a los usuarios.