Este martes de parches de Microsoft fue bastante malo, con seis vulnerabilidades parcheadas que estaban siendo activamente explotadas, incluida una enterrada en los vestigios del código de representación web MSHTML de Internet. A esto le ha seguido el último aviso de seguridad de Chrome de Google, que incluye un parche de día cero (CVE-2021-30551) para el motor JavaScript de Chrome entre sus 14 correcciones de seguridad enumeradas oficialmente.
Al igual que Mozilla, Google también agrupa otros errores potenciales que ha encontrado utilizando técnicas genéricas de búsqueda de errores, que se enumeran como “Varias correcciones de auditorías internas, fuzzing y otras iniciativas”.
Fuzzing, en caso de que no estés familiarizado con el término, es una técnica automatizada que busca errores al confrontar repetidamente el software bajo prueba con una entrada que ha sido modificada deliberadamente para ver si el programa se bloquea.
Por ejemplo, un fuzzer puede comenzar con un archivo de entrada en buen estado que esperaría que se procesara correctamente, sin desencadenar ningún error, y hacer progresivamente una serie de cambios inusuales o improbables en el archivo, probando así la verificación de errores de un programa de manera mucho más amplia y profunda de lo que se podría hacer a mano.
Imagina que tienes un archivo comprimido, por ejemplo, y quieres ver qué tan seguro se comporta tu código de descompresión si el archivo se corrompiera durante una descarga, como si un carácter de salto de línea se insertara accidentalmente en algún momento.
Con un fuzzer no solo podrías probar los saltos de línea en algunos puntos del archivo, sino en todos los puntos posibles y, mejor aún, no necesitarías almacenar todos estos archivos de entrada ligeramente modificados para más adelante, porque podrías regenerarlos automáticamente sobre la marcha cada vez que desees repetir la prueba.
Los fuzzers pueden producir millones o incluso cientos de millones de entradas de prueba durante una ejecución de prueba, pero solo necesitan almacenar las entradas que hacen que el programa se comporte mal o, lo que es más importante, se bloquee, para que puedan usarse más adelante como puntos de partida para ahorrar tiempo a los cazadores de vulnerabilidades humanos.
Activamente explotado
Google dice, sobre el error de día cero, simplemente que “[somos] conscientes de que existe un exploit para CVE-2021-30551 que está siendo activamente explotado”.
Este error aparece como una “confusión de tipos en V8”, donde V8 es la parte de Chrome que ejecuta código JavaScript, y la confusión de tipos significa que se puede alimentar a V8 con un tipo de elemento de datos, pero engañar a JavaScript para que lo maneje como si fuera de un tipo distinto, posiblemente eludiendo los controles de seguridad o ejecutando código no autorizado como resultado.
Por ejemplo, si tu código está haciendo cálculos de JavaScript en un objeto de datos que tiene un bloque de memoria de 16 bytes asignado, pero puedes engañar al intérprete de JavaScript para que piense que está trabajando en un objeto que usa 1024 bytes de memoria, probablemente puedes terminar escribiendo datos furtivamente fuera de la asignación oficial de 16 bytes, lo que provocará un ataque de desbordamiento del búfer.
Y, como probablemente sepas, los agujeros de seguridad de JavaScript que pueden ser provocados por el código JavaScript incrustado en una página web a menudo resultan en exploits de RCE o ejecución remota de código.
Esto se debe a que confíanos en el motor JavaScript del navegador para mantener el control sobre lo que es esencialmente una programación desconocida y no confiable descargada y ejecutada automáticamente desde una fuente externa.
Google no está diciendo si el error CVE-2021-30551 se puede usar para la ejecución remota completa de código, lo que, en el contexto de un navegador, generalmente significa que eres vulnerable a una descarga no autorizada.
Un drive-by significa que simplemente visitar un sitio web, sin hacer clic en ninguna ventana emergente o ver una advertencia tipo “¿Está seguro?”, podría permitir a los delincuentes ejecutar código falso de manera invisible e implantar malware en tu ordenador.
Sin embargo, CVE-2021-30551 solo obtiene una calificación alta, con solo un error que no está siendo activamente explotado (CVE-2021-30544) denotado como crítico.
Suponemos que el error CVE-2021-30544 recibió una calificación de Crítico porque podría ser explotado para RCE, pero no hay ninguna sugerencia de que nadie más que Google y los investigadores que lo informaron sepan cómo hacerlo en este momento.
¿Qué hacer?
Verifica tu versión de Chrome o Chromium.
En Windows, Mac y Linux debería ser 91.0.4472.101.
Haz clic en el ícono de tres puntos, luego ve a Ayuda > Información de Chrome; esto mostrará la versión que tienes ahora y buscará una actualización si no estás actualizado.
Para obtener más información sobre la actualización de Chrome, consulta la página oficial de Actualización de Google Chrome.
Dejar un comentario