Google actualiza de urgencia Chrome para evitar un ataque 'zero-day' que usaba fuentes tipográficas para secuestrar equipos

2020 11 03 003La última actualización de Google Chrome (la 86.0.4240.111, lanzada en el canal 'estable' hace unas horas) tiene como objeto parchear cinco agujeros de seguridad, incluyendo una vulnerabilidad de 'día cero'. Y si eres usuario de este navegador, ya sea en Windows, Mac o Linux, deberías actualizarlo lo antes posible.

Los ataques de día cero o 'zero-day' son aquellos que permiten ejecutar código malicioso aprovechando una vulnerabilidad desconocida tanto para los usuarios como para el fabricante. Un desconocimiento que, en este caso, ya ha permitido el secuestro de varios equipos por parte de los ciberdelincuentes que descubrieron en primer lugar dicha vulnerabilidad.

Una tipografía puede dejar tu equipo en manos de un atacante
Ésta fue finalmente descubierta el 19 de octubre por los investigadores de ciberseguridad del Google Project Zero y bautizada como CVE-2020-15999: consiste, fundamentalmente, es un defecto de corrupción de memoria llamado desbordamiento de búfer en el montículo de datos (o, meramente, desbordamiento de montículo) que permite tomar el control de los equipos afectados.

El problema es que esta vulnerabilidad está relacionada con Freetype, una popular biblioteca de desarrollo de software open source que permite gestionar la representación de fuentes tipográficas en el software y que viene empaquetada en Chrome... así como en muchos otros proyectos de software libre.

Por ello, el líder de Project Google Zero ha animado a los desarrolladores que hacen uso de dicha biblioteca a que implementen el código liberado por ellos para evitar sufrir ataques como el sufrido por Chrome, basados en el uso de fuentes con imágenes PNG incrustadas: si el ancho o el alto de dichas imágenes es "mayor de 65535, el búfer asignado no podrá ajustarse al mapa de bits".

Además de eso, Chrome ha aprovechado esta actualización para parchear otras cuatro vulnerabilidades, tres de las mismas calificadas 'de alto riesgo', y relacionadas con aspectos como el motor de renderizado, el lector de PDF o el sistema de impresión.

Fuente:

Si te gustó, compartilo:

Para poder comentar ingrese al sitio

Beneficios Socios

Vinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo SliderVinaora Nivo Slider

Actividades

ico_jiap.png ico_interjiap.png ico_socios.png
ico_ptu.png ico_claustro.png ico_premiogranato.png
ico_aap.png ico_green.png ico_calidad.png

 

Quién esta en línea

Hay 123 invitados y ningún miembro en línea

Síguenos en:

ico_facebook.png ico_twitter.png ico_linkedin.png ico_YT.png  
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE
IMAGE

Un día como hoy