Si eres fanático de los navegadores Google Chrome o Microsoft Edge, probablemente recibas actualizaciones automáticamente y probablemente ya estés actualizado.

Sin embargo…

…en caso de que te hayas perdido alguna actualización recientemente, te sugerimos ve y comprueba ahora mismo, porque el núcleo del navegador Chromium, en el que se basan tanto Edge como Chrome, ha parcheado no uno sino dos ejecución remota de código de día cero (RCE) errores recientemente.

Google mantiene los detalles de estos errores en secreto por el momento, presumiblemente porque son fáciles de explotar si sabes exactamente dónde buscar.

Después de todo, una aguja es fácil de encontrar incluso en un pajar gigante si alguien te dice en qué paca está antes de empezar.

Vulnerabilidades de seguridad basadas en el navegador que conducen a ejecución remota de código Siempre vale la pena tomarlos en serio, especialmente si los ciberdelincuentes ya los conocen y los usan.

Y zero-days, por definición, son errores que los chicos malos encontraron primero, por lo que hubo cero días en los que podría haber parcheado de manera proactiva.

RCE considerado nocivo

RCE significa exactamente lo que dice: alguien fuera de su red, fuera de su hogar, fuera de su empresa, tal vez incluso en el otro lado del mundo, puede decirle a su dispositivo: "Ejecute este programa de mi elección, en la forma en que le digo que lo haga". , sin revelar nada a ningún usuario que esté conectado actualmente”.

Por lo general, cuando está navegando y un sitio web remoto intenta imponerle contenido potencialmente peligroso, al menos recibirá algún tipo de advertencia, como una Do you want to download this file? cuadro de diálogo o una ventana emergente que le pregunta Are you really sure (Yes/No)?

A veces, según la configuración del navegador que haya elegido, o según las restricciones que le hayan aplicado los administradores de sistemas de TI, es posible que incluso reciba una notificación del tipo: Sorry, that option/file/download isn't allowed.

Pero un error RCE del navegador generalmente significa que simplemente al mirar una página web, sin hacer clic en ningún botón ni ver ninguna advertencia, puede proporcionar a los atacantes una brecha de seguridad a través de la cual podrían engañar a su navegador para que ejecute un código de programa no autorizado sin siquiera pedir permiso.

Las formas comunes en que se puede activar este tipo de agujero de seguridad incluyen: contenido HTML con trampa explosiva; código JavaScript mal construido deliberadamente; e imágenes malformadas u otros archivos multimedia con los que el navegador se ahoga mientras intenta preparar el contenido para su visualización.

Por ejemplo, si una imagen parecía necesitar solo unos pocos kilobytes de memoria, pero luego resultó que incluía megabytes de datos de píxeles, esperaría que su navegador detectara esta anomalía de manera confiable y no intentara convertir esos megabytes de píxeles en kilobytes. de espacio de memoria.

Eso causaría lo que se conoce como desbordamiento de búfer, corrompiendo la memoria del sistema de una manera que un atacante bien preparado podría predecir y explotar para causar daño.

Del mismo modo, si llegara un código JavaScript que le dijera a su navegador: "Aquí hay una cadena que representa una hora y una fecha que quiero que recuerde más adelante", esperaría que su navegador solo permitiera que los datos se trataran como un bloque de texto.

Pero si luego se pudiera engañar al sistema JavaScript para que usara ese mismo bloque de datos como si fuera una dirección de memoria (en la terminología C o C++, un puntero) que indicaba dónde debería ir el programa a continuación, un atacante bien preparado podría engañar al navegador para que tratara lo que llegó como datos inofensivos como un miniprograma proporcionado de forma remota para ser ejecutado.

En la jerga, eso se conoce como shellcode, de la terminología tradicional de Unix en la que código se refiere a una secuencia de instrucciones del programa, y shell es el nombre general de un indicador de control en el que puede ejecutar una secuencia de comandos de su elección.

Imagina abrir el Terminal aplicación en una Mac, o una PowerShell aviso en Windows: ese es el tipo de poder que los ciberdelincuentes suelen obtener sobre usted y su red si pueden usar un agujero RCE para hacer estallar una concha, como se le llama jocosamente en el comercio, en su dispositivo.

Peor aún, un shell remoto "explotado" de este tipo generalmente se ejecuta completamente en segundo plano, invisible para cualquier persona que esté sentada frente a la computadora, por lo que hay pocas o ninguna señal reveladora de que un operador deshonesto está hurgando y explotando su dispositivo detrás de su espalda.

Un paquete de dos días cero

Cuando dimos nuestros ejemplos de RCE anteriores, no elegimos archivos de imágenes con trampas explosivas y código JavaScript falso por casualidad.

Los destacamos como ejemplos porque los dos errores de Chrome de día cero corregidos en los últimos días son los siguientes:

• CVE-2023-2033: Escriba confusión en V8 en Google Chrome antes de 112.0.5615.121. Un atacante remoto podría potencialmente explotar la corrupción del montón a través de una página HTML diseñada. Gravedad de la seguridad de Chromium: Alta.
• CVE-2023-2136: Desbordamiento de enteros en Skia en Google Chrome anterior a 112.0.5615.137. Un atacante remoto que hubiera comprometido el proceso del renderizador podría potencialmente realizar un escape de caja de arena a través de una página HTML diseñada. Gravedad de la seguridad de Chromium: Alta.

En caso de que se lo pregunte, V8 es el nombre del motor JavaScript de código abierto de Chromium, donde se procesa el JavaScript incrustado en las páginas web.

Y Skia es una biblioteca de gráficos de código abierto creada por Google y utilizada en Chromium para convertir los comandos HTML y cualquier contenido gráfico incrustado en píxeles en pantalla que representan la forma visual de la página. (El proceso de convertir HTML en gráficos en pantalla se conoce en la jerga como representación una página.)

A error de confusión de tipo es uno que funciona de manera similar al ejemplo de texto tratado como un puntero que presentamos anteriormente: una parte de los datos que deberían manejarse bajo un conjunto de reglas de seguridad dentro del proceso de JavaScript termina siendo utilizado de manera insegura.

Eso es un poco como obtener un pase de invitado en el mostrador de recepción de un edificio, y luego descubrir que si sostiene el pase con el pulgar en el lugar correcto para ocultar la etiqueta "Soy solo un invitado", puede engañar a la seguridad. guardias dentro del edificio para que te dejen ir a donde no debes y hacer cosas que se supone que no debes hacer.

Y un desbordamiento de enteros es donde un cálculo aritmético sale mal porque los números se hicieron demasiado grandes, de la misma manera que el tiempo da vueltas una o dos veces al día en su reloj.

Cuando adelanta un reloj analógico una hora desde, digamos, las 10 y las 12 en punto, el tiempo se ajusta a las 10 y las 1 en punto, porque la esfera del reloj solo está marcada de la 1 a las 12; De manera similar, cuando un reloj digital llega a la medianoche, retrocede de las 23:59 a las 00:00, porque no puede contar hasta 24.

¿Qué hacer?

¿No sería útil si hubiera un solo número de versión que pudiera verificar en cada navegador basado en Chromium y en cada plataforma compatible?

Lamentablemente, no lo hay, así que informamos lo que encontramos a continuación.

Al momento de escribir [2023-04-24T16:00Z], las versiones oficiales de Chrome para portátiles parecen ser: 112.0.5615.137 or 112.0.5615.138 para ventanas, 112.0.5615.137 para Mac y 112.0.5615.165 para Linux.

Cualquier cosa igual o posterior a esos números incluirá parches para los dos días cero anteriores.

Edge en su computadora portátil debe ser 112.0.1722.58 o después.

Desafortunadamente, Chrome y Edge en Android (acabamos de actualizar el nuestro) todavía parecen ser 112.0.5615.136 y 111.0.1661.59 respectivamente, por lo que solo podemos recomendarle que esté atento a las actualizaciones en los próximos días.

Del mismo modo, en iOS, nuestras versiones recién actualizadas de Chrome y Edge aparecen respectivamente como 112.0.5615.70 y 112.0.1722.49, por lo que asumimos que esas versiones pronto se actualizarán para garantizar que ambos días cero estén parcheados.

• Chrome en tu portátil. Visitando la URL chrome://settings/help debería mostrarle la versión actual, luego verificar si hay actualizaciones perdidas e intentar actualizarlo si aún no lo estaba.
• Chrome en iOS. La dirección URL chrome://version mostrará su versión actual. Vaya a la aplicación App Store y toque la imagen de su cuenta en la parte superior derecha para ver si hay actualizaciones disponibles que aún deben instalarse. Puedes usar Update all para hacerlos todos a la vez, o actualice las aplicaciones individualmente de la lista a continuación si lo prefiere.
• Chrome en Android. La dirección URL chrome://version mostrará su versión actual. El menú de tres puntos debería mostrar una flecha hacia arriba si hay una actualización de Chrome que aún no tienes. Deberá iniciar sesión en su cuenta de Google Play para obtener la actualización.
• Edge en su computadora portátil. Visitando la URL edge://settings/help debería mostrarle la versión actual, luego verificar si hay actualizaciones perdidas e intentar actualizarlo si aún no lo estaba.
• Borde en iOS. La dirección URL edge://version mostrará su versión actual. Vaya a la aplicación App Store y toque la imagen de su cuenta en la parte superior derecha para ver si hay actualizaciones disponibles que aún deben instalarse. Puedes usar Update all para hacerlos todos a la vez, o actualice las aplicaciones individualmente si lo prefiere.
• Borde en Android. La dirección URL edge://version mostrará su versión actual. Abra la aplicación Google Play y toque el blob de su cuenta en la parte superior derecha. Entra en el Administrar aplicaciones y dispositivos pantalla para buscar actualizaciones pendientes. Puedes usar Update all para hacerlos todos a la vez, o acceder a través de Ver más detalles para actualizarlos individualmente.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
• Acuñando el futuro con Adryenn Ashley. Accede Aquí.
• Fuente: https://nakedsecurity.sophos.com/2023/04/24/double-zero-day-in-chrome-and-edge-check-your-versions-now/