La semana pasada fue descubierta una vulnerabilidad en la versión de Google Chrome para el escritorio (Windows, Linux y Mac) que abre la puerta a la ejecución de código arbitrario en el contexto en el que se esté ejecutando el navegador con tan solo abrir una página web maliciosa.
El contexto de ejecución del navegador depende de los privilegios que tenga el usuario que ejecute la aplicación (si es que no se han configurado unos privilegios específicos para las aplicación), cuanto mayores sean esos privilegios mayores son los daños que se podrán provocar al sistema. Esto deja, al menos sobre el papel, a Windows algo más expuesto que Linux y Mac, ya que los usuarios del sistema de Microsoft tienden a utilizar por defecto una cuenta con privilegios de administrador. Sin embargo, los que utilizan Linux y Mac sí tendrían que tener cuidado con los datos personales pertenecientes al usuario común con el que generalmente utilizan el sistema.
En caso de explotarse la vulnerabilidad con éxito, el atacante podría realizar una cantidad de acciones que están delimitadas por el contexto en el que se ejecuta Google Chrome, pudiendo ver, cambiar y borrar datos o crear nuevos usuarios con privilegios totales sobre el sistema.
Las versiones de Chrome afectadas son las anteriores a la 76.0.3809.132 y los investigadores han calificado el riesgo de este fallo de seguridad como medio para pequeñas empresas y pequeñas entidades gubernamentales, alto para medianas y grandes empresas y medianas y grandes entidades gubernamentales y bajo para los usuarios domésticos.
Se recomienda utilizar las aplicaciones más comunes con un usuario con privilegios restringidos para minimizar el alcance de la explotación de este tipo de vulnerabilidades, además de actualizar Chrome (y cualquier otra aplicación) cuanto antes para obtener los correspondientes parches de seguridad.
Como curiosidad, solo se han visto afectadas las versiones de Chrome para Windows, Linux y Mac, por lo que las versiones para Android e iOS se han librado. Eso sí, es importante tener en cuenta que la versión para el sistema móvil de Apple utiliza el motor WebKit utilizado por Safari e impuesto a todos los navegadores.
Extraido
No hay comentarios:
Publicar un comentario