- comunicados de Google Aviso de seguridad de Chromeque incluye un parche de día cero para el motor de JavaScript de Chrome.
- CVE-2021-30551 obtiene una calificación alta, con solo un error que no está en estado salvaje, explotado por terceros malintencionados.
- Según Google, el acceso a los detalles de errores y enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución.
- El Google enumera el error CVE-2021-30551 como confusión de tipo en V8, lo que significa que la seguridad de JavaScript se puede omitir para ejecutar código no autorizado.
Los usuarios todavía están pensando en el anuncio anterior del martes de parches de Microsoft, que en su opinión fue bastante malo, con seis vulnerabilidades parcheadas.
Sin mencionar el que está enterrado en lo profundo de los vestigios del código de representación web MSHTML de Internet Explorer.
14 correcciones de seguridad en una sola actualización
Ahora, Google lanza Aviso de seguridad de Chromeque quizás desee saber incluye un parche de día cero (CVE-2021-30551) para el motor JavaScript de Chrome, entre sus otras 14 correcciones de seguridad enumeradas oficialmente.
Para aquellos que todavía no están familiarizados con el término, Día cero Es un momento imaginativo, ya que este tipo de ciberataque ocurre en menos de un día desde que se tiene conocimiento de la falla de seguridad.
Por lo tanto, no les da a los desarrolladores el tiempo suficiente para erradicar o mitigar los riesgos potenciales asociados con esta vulnerabilidad.
Al igual que Mozilla, Google también agrupa otros errores potenciales que ha encontrado utilizando métodos genéricos de búsqueda de errores, enumerados como Varias correcciones de auditorías internas, fuzzing y otras iniciativas.
Los fuzzers pueden producir, si no millones, cientos de millones de entradas de prueba durante la ejecución de la prueba.
Sin embargo, la única información que necesitan almacenar es en los casos que hacen que el programa se comporte mal o se bloquee.
Esto significa que se pueden usar más adelante en el proceso, como puntos de partida para los cazadores de insectos humanos, lo que también ahorrará mucho tiempo y mano de obra.
Los errores están siendo explotados en la naturaleza
Google comienza mencionando el error de día cero, afirmando que son]conscientes de que existe un exploit para CVE-2021-30551 en la naturaleza.
Este error en particular aparece como confusión de tipos en V8donde V8 representa la parte de Chrome que ejecuta código JavaScript.
La confusión de tipos significa que puede proporcionar a V8 un elemento de datos, mientras engaña a JavaScript para que lo maneje como si fuera algo totalmente diferente, eludiendo potencialmente la seguridad o incluso ejecutando código no autorizado.
Como la mayoría de ustedes sabrán, las infracciones de seguridad de JavaScript que pueden activarse mediante el código JavaScript incrustado en una página web, a menudo resultan en vulnerabilidades de RCE o incluso en la ejecución remota de código.
Dicho todo esto, Google no aclara si el error CVE-2021-30551 se puede usar para la ejecución remota de código, lo que generalmente significa que los usuarios son vulnerables a los ataques cibernéticos.
Solo para tener una idea de cuán grave es esto, imagine navegar por un sitio web, sin hacer clic en ninguna ventana emergente, podría permitir que terceros maliciosos ejecuten código de manera invisible e implanten malware en su computadora.
Por lo tanto, CVE-2021-30551 solo obtiene una calificación alta, con solo un error que no está en estado salvaje (CVE-2021-30544), clasificado como crítico.
Podría ser que el error CVE-2021-30544 tuviera la mención crítica atribuida porque podría ser explotado por RCE.
Sin embargo, no hay ninguna sugerencia de que nadie más que Google, así como los investigadores que lo informaron, sepan cómo hacerlo, por el momento.
La compañía también menciona que el acceso a los detalles de errores y enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución.
¿Cuál es su opinión sobre el último parche de día cero de Google? Comparta sus pensamientos con nosotros en la sección de comentarios a continuación.