11 de marzo de 2019

Zero-Day en Google Chrome permite la ejecución remota de código

La vulnerabilidad, del tipo corrupción de memoria y que afecta a Windows, MacOS y Linux, habría estado siendo aprovechada por atacantes.
Clement Lecigne, del Grupo de Análisis de Amenazas de Google, ha reportado una vulnerabilidad con identificador CVE-2019-5786 que permitiría la ejecución arbitraria de código en la máquina de la víctima, para así tomar su control. Aunque no se han revelado detalles, según Google el fallo habría estado siendo aprovechado por atacantes.
Desde Google han decidido restringir los detalles de la vulnerabilidad hasta que la mayoría de usuarios hayan actualizado; lo único que se conoce de momento de este fallo de corrupción de memoria, es que se produce tras intentar acceder a memoria que ya ha sido liberada (‘use-after-free’), y que afecta al componente API FileReader. Dicha API, es la encargada de leer ficheros de forma asíncrona desde la máquina del usuario.
Debido a la alta gravedad de la vulnerabilidad, se recomienda a todos los usuarios de Google Chrome para las plataformas Windows, MacOS y GNU/Linux, actualizar a la última versión, la cual debe ser igual o superior a 72.0.3626.121. En Windows y MacOS, normalmente estas actualizaciones se encuentran activadas por defecto, aunque pueden forzarse accediendo a chrome://settings/help. En el caso de la mayoría de distribuciones GNU/Linux, éstas deben realizarse por el gestor de paquetes del sistema.
Más información
Fuente: Hispasec