Otro día cero en Chrome, esta vez en Android: ¡comprueba tu versión!

ActualidadGoogle ChromevulnerabilidadZero-day

Hace unas semanas, ya hablamos de una vulnerabilidad día cero en Chrome. En ese momento, aconsejamos asegurarse que el número de versión de Chrome o Chromium terminase en .111, dado que la versión principal anterior resultó que incluía un error de desbordamiento de búfer que ya era estaban utilizando los ciberdelincuentes.

En términos generales, si los ciberdelincuentes llegan primero y comienzan a explotar un error antes de que haya un parche disponible, eso se conoce como una vulnerabilidad día cero.

El nombre proviene de los primeros días de la piratería de software, cuando los hackers competían para ver quién podía “descifrar” primero los nuevos lanzamientos de software.

Como te puedes imaginar, en los días previos a que el acceso generalizado a Internet hiciera viables los juegos gratuitos con un componente en línea basado en suscripción, los proveedores de juegos a menudo recurrían a trucos técnicos complejos para inhibir la duplicación ilegal de su software.

Sin embargo, los mejores hackers, a menudo desentrañan incluso el código de protección de software más avanzado en unos pocos días, y cuanto menor era el número de días antes de que saliera el crack, mayores eran los derechos de fanfarronear en los foros clandestinos.

Los mayores honores eran cuando conseguían el crack del software el mismo día en que veía la luz, lo que llamaban un día-0.

Y “día cero” es un término que se ha mantenido, y la palabra ahora denota un período de cero días durante el cual incluso el administrador de sistemas más escrupuloso podría haber parcheado de manera proactiva, ya sea que los ciberdelincuentes hayan sabido sobre el error durante años, meses, semanas o días.

Bueno, la mala noticia es que hay otra actualización vital para Chrome, lo que significa que los usuarios de Windows, Linux y Mac ahora deberían utilizar la versión 86.0.4240.183, no la 86.0.4240.111.

Según Google, esta vez hay siete vulnerabilidades de alta gravedad, una de las cuales (CVE-2020-16009) es un error de día cero que ya está siendo explotado por los ciberdelincuentes.

Peor en Android

En Android, las cosas están peor, y la versión que necesitas es la 86.0.4240.185, porque los parches de Android incluyen una solución para un error adicional, denominado CVE-2020-16010, que aparentemente es exclusivo de la versión de Android para y como Google una vez más señala sucintamente, sin ningún detalle o explicación, “[estamos] al tanto de los informes de que existe un exploit para CVE-2020-16010 que está siendo activamente explotado”.

En resumen: Chrome para Android tiene una vulnerabilidad día cero de la que los delincuentes ya están abusando, por lo que debes parchear.

No sabemos cómo los ciberdelincuentes están aprovechándose de este error, y no sabemos dónde está sucediendo (si Google lo sabe, no lo dice), por lo que todo lo que podemos aconsejar es: “Implementa la actualización lo antes posible”.

Como sucede a menudo, dado el estado fragmentado del ecosistema de Android, las actualizaciones a menudo llegan en diferentes momentos y de diferentes maneras según el dispositivo que se tenga, el fabricante, el proveedor y posiblemente incluso a qué red móvil se esté conectado.

Entonces, como de costumbre, a pesar de lo que parece un problema grave en el navegador estándar de Android, Google puede ofrecer poco más a modo de consuelo que su descargo de responsabilidad habitual de que la nueva versión “estará disponible en Google Play durante las próximas semanas”.

Verifica rápido, verifica con frecuencia y obtén el parche lo antes posible.

¿Qué hacer?

  • En Windows, Linux, Mac y Android, busca la versión 86.0.4240.183. (O posterior, dependiendo de cuándo estés leyendo esto).
  • En Android, busca la versión 86.0.4240.185.

La pregunta candente, por supuesto, si Google Play todavía muestra una versión anterior a la más reciente disponible para su dispositivo, ¿entonces qué?

Como mencionamos anteriormente, Google ha dado a entender que esta actualización puede tardar semanas en llegar a todos los dispositivos, y es posible que algunos dispositivos antiguos no reciban actualizaciones, en cuyo caso no hay mucho que puedas hacer más que vivir sin la actualización hasta que llegue, o consigue un teléfono nuevo que reciba parches rápidamente.

Si no tienes una actualización de Chrome, podrías considerar cambiar a un navegador Android alternativo, aunque sea temporalmente.

Busca uno que esté basado en otra base, como Firefox, o uno basado en el código base de Chromium que sea lo suficientemente diferente a Chrome como para que (hasta donde puedas saber) el error CVE-2020-16010 no se repita en él.

Puedes cambiar el navegador predeterminado usando Configuración> Establecer como navegador predeterminado (Firefox, quizás como era de esperar, tienes instrucciones detalladas sobre cómo cambiar para varias versiones de Android).

Ten en cuenta que en las compilaciones de Google Android, Chrome se suministra con el sistema operativo, de la misma manera que Safari es parte de iOS en los iPhones de Apple y, por lo tanto, no se puede desinstalar.

Puedes deshabilitar Chrome temporalmente, o “apagarlo para que no se muestre en la lista de aplicaciones en su dispositivo”, en palabras de Google, a través de la opción Configuración> Aplicaciones y notificaciones.

Leave a Reply

Your email address will not be published.