CCN-CERT AV 24/21 Actualización de seguridad para Google Chrome

Detalles: Published: 27 Setembro 2021

Actualización de seguridad para Google Chrome

Fecha de publicación: 27/09/2021
Nivel de peligrosidad: CRÍTICO

El Equipo de Respuesta ante Incidentes de Seguridad de la Información del Centro Criptológico Nacional, CCN-CERT, avisa de la publicación de una vulnerabilidad en Google Chrome.

Google Chrome, popular software de navegación web ha hecho público un aviso de seguridad en el que se aborda una vulnerabilidad explotada activamente. Este error, que permite ejecutar código de forma remota en dispositivos que ejecutan versiones de Chrome sin parches, se ha registrado con el CVE-2021-37973 y afecta a varias versiones de Microsoft Edge (indicadas en el apartado recursos afectados). El descubrimiento de esta vulnerabilidad se atribuye a Clément Lecigne de Google TAG y con asistencia técnica de Sergei Glazunov y Mark Brand de Google Project Zero.

Clement Lecigne haciendo un retweet de Maddie Stone exponiendo su descubrimiento.

Google Chrome ha reconocido que tiene conocimiento de la explotación de esta vulnerabilidad. La compañía, como es habitual siguiendo su política de seguridad, no compartió información adicional sobre estos incidentes. A continuación, se muestran los detalles técnicos conocidos a día de hoy de esta vulnerabilidad:

CVE-2021-37973: este fallo existe debido a un error use-after-free al procesar el contenido HTML dentro del componente portals en Google Chrome. Un atacante remoto puede crear un sitio web especialmente diseñado, engañar a la víctima para que lo visite, desencadenar un error de este tipo y ejecutar código arbitrario en el sistema. La explotación exitosa de la vulnerabilidad puede permitir a un atacante comprometer el sistema vulnerable.

Por el momento, la base de datos del NIST no ha registrado esta vulnerabilidad, por lo que todavía no se le ha asignado puntuación de criticidad según la escala CVSSv3. No obstante, Google Chrome ha calificado esta vulnerabilidad como alta. Por otro lado, aunque varios investigadores han asegurado haber explotado dicha vulnerabilidad, hasta el momento no se han publicado pruebas de concepto (PoC) con los detalles del fallo descubierto.

Recursos afectados:

Microsoft Edge (Chromium-based) versiones 0.961.52 y anteriores.
Versiones de Google Chrome anteriores a la 94.0.4606.61

Solución a la vulnerabilidad:

Se recomienda a los usuarios de Chrome que actualicen a la última versión (94.0.4606.61) para Windows, Mac y Linux para mitigar el riesgo asociado con la falla.

Recomendaciones:

Se recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad en cuanto se encuentren disponibles, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, no se conocen medidas de mitigación alternativas para esta vulnerabilidad en caso de no ser posible aplicar las actualizaciones descritas.

Referencias:

Atentamente,

Equipo CCN-CERT

Avisos Información IMPORTANTE sobre vulnerabilidades, con alto nivel de riesgo, que deben ser atendidas con especial prontitud por parte de las organizaciones potencialmente afectadas.	Alertas Información sobre situaciones que requieren atención INMEDIATA por parte de las organizaciones potencialmente afectadas.

Sobre CCN-CERT	Política de privacidad
Aviso de Confidencialidad El presente mensaje va dirigido de manera exclusiva a su destinatario. Si usted no es el destinatario de este mensaje (o la persona responsable de su entrega), considérese advertido de que lo ha recibido por error, así como de la prohibición legal de realizar cualquier tipo de uso, difusión, reenvío, impresión o copia del mismo. Si ha recibido este mensaje por error, por favor notifíquelo al remitente y proceda a destruirlo inmediatamente.