Chrome, Firefox y Edge corrigen distintas fallas de seguridad en sus navegadores

08 Febrero 2021
Alto

Tres distintos problemas de seguridad han afectado a los usuarios del navegador web Chrome. Uno de ellos es una extensión maliciosa con más de 2 millones de usuarios, un día cero notificado y recientemente solucionado y, por último, la detección de un malware que logra abusar de la función de sincronización de Chrome para evitar cortafuegos. Asimismo, Firefox soluciona vulnerabilidades críticas y la versión heredada de Microsoft Edge será reemplazada por una nueva basada en Chromium.

Google Chrome

Extensión Great Suspender contiene malware

Constantemente Google Chrome actualiza su navegador llegando esta vez a su versión 88.0.4324.150. En esta oportunidad Chrome se ha enfrentado a corregir tres fallas simultáneamente.

La primera corresponde a la extensión Great Suspender, la cual fue vendida por su propio desarrollador en junio de 2020, fue en ese traspaso que el nuevo propietario de la extensión habría cargado un código malicioso que rastrea a los usuarios y manipula sus solicitudes web.

Pero ¿qué es Great Suspender? esta extensión permite suspender temporalmente las pestañas que no se han abierto recientemente en el navegador, puesto que es conocimiento de todos que las pestañas de Chrome consumen gran cantidad de RAM en los dispositivos, permitiendo así que el navegador funcione sin inconvenientes y utilizando la menor cantidad de recursos posibles.

Google ya ha eliminado dicha extensión, pero hay usuarios que podrían no tener acceso fácilmente a sus pestañas suspendidas. 

Día cero de alta gravedad

Cuando una falla no es suficiente, Mattias Buelens, investigador informático, descubrió y dio aviso al equipo de Google sobre un error de día cero correspondiente a una corrupción de memoria de "desbordamiento de pila" en el motor V8 para JavaScript. 

El error identificado como CVE-2021-21148 fue notificado el 24 de enero. Desde ese momento, como suele suceder, Google entregó información bastante limitada solo declarando que: “la compañía está al tanto de los informes de que existe un exploit para CVE-2021-21148 circulando en internet”.

Abuso de sincronización

La tercera y última notificación corresponde al uso y abuso de un malware para aprovecharse de la función de sincronización de Chrome para eludir los firewalls permitiendo así que el malware logre conectarse a servidores C2.

Dicha función de sincronización permite a los usuarios compartir marcadores, pestañas del navegador, extensiones y contraseñas entre distintos dispositivos que ejecuten Chrome.

Los atacantes utilizaron una extensión maliciosa que no estaba disponible en Chrome Web Store. 

Recomendación

Junto con verificar la versión de Chrome instalada para asegurarse de que sea la última, 88.0.4324.150. También se aplica el consejo habitual sobre las extensiones del navegador, que es esencialmente instalarlas solo cuando sean realmente útiles y después de verificar la seguridad en los comentarios de los usuarios. 

Otros navegadores

Microsoft desinstala su antiguo navegador Edge de las PC con Windows

El 13 de abril, Microsoft lanzará su parche de seguridad mensual acumulativo que eliminará la versión heredada de Edge de las computadoras con Windows 10 e instalará la nueva basada en Chromium, según anunció la compañía el viernes pasado.

Mozilla lanzó Firefox 85.0.1 estable y Firefox ESR 78.7.1 al público el 5 de febrero de 2021.

Firefox 85.0.1 y Firefox ESR 78.7.1 son actualizaciones de seguridad principalmente. Mozilla corrigió un solo problema de seguridad en ambas versiones del navegador.

La vulnerabilidad de desbordamiento de búfer en los cálculos de tono de profundidad para texturas comprimidas ha recibido la calificación de gravedad crítica, la calificación más alta disponible. Mozilla señala que el problema afecta a Firefox que se ejecuta solo en máquinas con Windows, todos los demás sistemas operativos compatibles no se ven afectados por el problema.

Firefox 85.0.1 incluye una solución que evita que se active un error de corrupción NTFS de Windows 10 desde el navegador.

Se recomienda lo siguiente:

  • Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
  • Actualizar navegador Google Chrome a la última versión 88.0.4324.150 a la brevedad.
  • Para Verificar su versión, vaya a Ayuda/ Acerca de Google Chrome desde el menú desplegable "tres puntos" en la esquina superior derecha del navegador. Si, por alguna razón, no está ejecutando la última versión, esto también iniciará el proceso de actualización.

El listado de las CVE se adjunta a continuación:


Tags: #Chrome #Google #Parche #Firefox #Mozilla #Chromium #Edge #WebBrowser #CVE-2021-21148


© 2019 Entel CyberSecure
Protege tus activos críticos, datos e infraestructura TI y minimiza tus riesgos de fuga de información,
fraude electrónico, espionaje industrial, suplantación de identidades y amenazas Zero Day, con las soluciones y servicios del Centro de Ciberinteligencia de Entel.