La
vulnerabilidad, del tipo corrupción de memoria y que afecta a Windows, MacOS y
Linux, habría estado siendo aprovechada por atacantes.
Clement
Lecigne, del Grupo de Análisis de Amenazas de Google, ha reportado una
vulnerabilidad con identificador CVE-2019-5786 que permitiría la ejecución
arbitraria de código en la máquina de la víctima, para así tomar su control.
Aunque no se han revelado detalles, según Google el fallo habría estado siendo
aprovechado por atacantes.
Desde
Google han decidido restringir los detalles de la vulnerabilidad hasta que la
mayoría de usuarios hayan actualizado; lo único que se conoce de momento de
este fallo de corrupción de memoria, es que se produce tras intentar acceder a
memoria que ya ha sido liberada (‘use-after-free’), y que afecta al componente
API FileReader. Dicha API, es la encargada de leer ficheros de forma asíncrona
desde la máquina del usuario.
Debido a la
alta gravedad de la vulnerabilidad, se recomienda a todos los usuarios de
Google Chrome para las plataformas Windows, MacOS y GNU/Linux, actualizar a la
última versión, la cual debe ser igual o superior a 72.0.3626.121. En Windows y
MacOS, normalmente estas actualizaciones se encuentran activadas por defecto,
aunque pueden forzarse accediendo a chrome://settings/help. En el caso de la
mayoría de distribuciones GNU/Linux, éstas deben realizarse por el gestor de
paquetes del sistema.
Más información
Stable
Channel Update for Desktop: https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html
Fuente:
Hispasec