Google liberó una actualización de emergencia para el navegador Chrome que aborda tres vulnerabilidades: CVE-2021-37974, CVE-2021-37975 y CVE-2021-37976. Los expertos de Google consideran una de las vulnerabilidades como crítica y las otras dos como altamente peligrosas.
Lo que es peor: de acuerdo con Google los cibercriminales ya explotaron dos de estas tres vulnerabilidades. Por lo tanto, Google aconseja a todos los usuarios de Chrome que actualicen el navegador de inmediato a la versión 94.0.4606.71. Estas vulnerabilidades también son relevantes para otros navegadores con base en el motor Chromium; por ejemplo, Microsoft recomienda actualizar Edge a la versión 94.0.992.38.
Por qué estas vulnerabilidades de Google Chrome son peligrosas
CVE-2021-37974 y CVE-2021-37975 son vulnerabilidades del tipo use-afer-free (UAF), las cuales explotan el uso incorrecto de la memoria heap, lo que a su vez puede resultar en la ejecución de códigos arbitrarios en la computadora objetivo.
La primera, CVE-2021-37974, está relacionada con el componente Safe Browsing, un subsistema de Google Chrome que advierte a los usuarios sobre sitios web y descargas no seguros. La calificación de gravedad de CVSS v3.1 para esta vulnerabilidad es de 7.7 de 10.
La segunda vulnerabilidad, CVE-2021-37975, se encontró en el motor V8 JavaScript de Chrome. Esta es considerada la más peligrosa de las tres con un 8.4 en la escala de CVSS v3.1, lo que la convierte en una vulnerabilidad de riesgo crítico. Unos criminales desconocidos ya usan esta vulnerabilidad en sus ataques a los usuarios Chrome.
La causa de la tercera vulnerabilidad, CVE-2021-37976, es la sobreexposición de datos causada por el núcleo de Google Chrome. Es ligeramente menos peligrosa con un 7.2 en la escala CVSS v3.1; sin embargo, los cibercriminales ya la están utilizando también.
Cómo los cibercriminlaes pueden explotar estas vulnerabilidades
La explotación de la tres vulnerabilidades requiere la creación de una página web maliciosa. Lo único que los atacantes necesitan es crear un sitio web con una explotación incrustada y una manera de atraer a víctimas. Como resultado, los exploits para dos vulnerabilidades use-after-free permiten que los atacantes ejecuten código arbitrario en las computadoras de los usuarios de Chrome que todavía no instalan el parche y que hayan ingresado a la página. Esto puede comprometer su sistema. Un exploit para la tercera vulnerabilidad, CVE-2021-37976, hace posible que los atacantes obtengan acceso a la información confidencial de la víctima.
Lo más probable es que Google revele más detalles sobre las vulnerabilidades después de que la mayoría de los usuarios haya actualizado sus navegadores. En cualquier caso, lo mejor es actualizar lo antes posible y no dejarlo para después.
Cómo mantenerse a salvo
El primer paso para todos es actualizar los navegadores en todos los dispositivos con acceso a Internet. Con frecuencia, la actualización se instala de manera automática cuando se reinicia el navegador; sin embargo, muchos usuarios no reinician su computadora durante mucho tiempo, de manera que su navegador podría estar vulnerable por días, o incluso semanas. De todas maneras, recomendamos verificar la versión de Chrome. Sigue estos paso para hacerlo: haz clic en el botón Personalizar y controlar Google Chrome en la esquina superior derecha de la ventana del navegador y elige Ayuda -> Acerca de Chrome. Si la versión de tu navegador no es la más reciente disponible, Chrome iniciará la actualización de manera automática.
Y como protección adicional, recomendamos que los usuarios instalen soluciones de seguridad en todos los dispositivos con acceso a Internet. De esta manera, incluso si tu navegador no está actualizado, las tecnologías de protección proactiva reducirán la posibilidad de una explotación exitosa de alguna vulnerabilidad.
También recomendamos a los empleados de los departamentos de seguridad de la información utilizar soluciones de seguridad en todos los dispositivos, supervisar las actualizaciones de seguridad y emplear un sistema de entrega y control de actualizaciones automáticas. También sería razonable priorizar la instalación de las actualizaciones del navegador.