Vulnerabilidad de día 0 en Google Chrome registra ataques activos [CVE-2019-13720, 21]


Con el reciente lanzamiento de Chrome 78.0.3904.87, Google advierte a miles de millones de usuarios que instalen la actualización de software de inmediato, el cual corrige dos vulnerabilidades categorizadas como graves, una de las cuales los atacantes están explotando activamente para secuestrar computadoras.

El equipo de seguridad a cargo señala que ambos problemas son vulnerabilidades use-after-free, la primera afecta el componente de audio de Chrome (CVE-2019-13720), mientras que la otra reside en la biblioteca PDFium (CVE-2019-13721).

La vulnerabilidad use-after-free corresponde a una falla de corrupción de memoria que permite la corrupción o modificación de datos en la memoria, facilitando que un usuario sin privilegios pueda escalar privilegios en un sistema o software afectado.

Por lo tanto, ambos defectos podrían permitir a los atacantes remotos obtener privilegios en el popular navegador web simplemente convenciendo a los usuarios de que visiten un sitio web malicioso, escapando de las protecciones sandbox y ejecutando código malicioso en los sistemas objetivo.

Las fallas use-after-free es una de las vulnerabilidades más comunes descubiertas y parcheadas en Chrome en los últimos meses. Un día después de que Google lanzó una actualización de emergencia para el navegador Chrome para corregir dos vulnerabilidades de alta gravedad.

Según los investigadores, los atacantes comprometieron un portal de noticias coreano. Plantaron el código de explotación en el sitio, con el fin de hackear las computadoras de sus visitantes que abren el portal de noticias utilizando versiones vulnerables de Google Chrome. El exploit instala el malware de primera etapa en los sistemas de destino después de explotar la vulnerabilidad CVE-2019-13720, luego se conecta a un servidor de comando y control (C2) remoto codificado para descargar el payload final.

Apodado como "Operation WizardOpium" por los investigadores, el ciberataque aún no se ha atribuido a ningún grupo APT. Aún así, se encontraron algunas similitudes en el código de explotación del grupo de piratas informáticos Lazarus.

Para parchear ambas vulnerabilidades de seguridad, Google ya comenzó a distribuir la versión 78.0.3904.87 de Chrome para los sistemas operativos Windows, Mac y Linux. Generalmente el navegador notifica automáticamente a los usuarios sobre la última versión disponible, se recomienda a los usuarios que descarguen manualmente la actualización yendo a "Ayuda → Información de Google Chrome" en el menú.


REFERENCIA

COMENTARIOS

Nombre

Adobe,1,Adware,3,android,24,Antivirus,3,Apple,13,Apps,10,Arkavia Networks,13,Ataques,4,Backdoor,3,Bancos,6,Bases de Datos,1,Botnet,1,Botnet. Malware,1,Check Point,2,Cibercrimen,104,ciberseguridad,69,Cisco,1,Cloud,1,CMS,1,CPU,3,Criptomonedas,3,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Leak,6,Deep Web,5,Ecommerce,1,Empresas,108,Eventos,4,Exploits,5,F5 Networks,1,Facebook,6,Firmware,1,google,24,Hacking,78,Hardware,7,Hosting,2,Industria,10,Instagram,2,Intel,2,Internacional,40,Internet,32,Investigacion,7,ios,3,IoT,3,ISO,1,Linux,4,Malware,24,Malwares,32,Microsoft,20,Nacional,10,Negocios,2,Oracle,1,OS,8,Payload,2,phishing,9,Protocolos,11,Ransomware,7,Recomendaciones,14,Redes,27,redes sociales,12,Rootkit,1,RRSS,1,Salud,2,Servicios,5,Smartphones,27,Software,23,Spyware,10,updates,21,Vulnerabilidades,59,Web,5,WhatsApp,2,wifi,2,Windows,8,
ltr
item
Arkavia Networks News: Vulnerabilidad de día 0 en Google Chrome registra ataques activos [CVE-2019-13720, 21]
Vulnerabilidad de día 0 en Google Chrome registra ataques activos [CVE-2019-13720, 21]
https://1.bp.blogspot.com/-5Ed-zf6v7fY/XcGFrJttVEI/AAAAAAAABu8/CJG6lp8LxEw0ouXT8gmnSJqiYy5FtwMhQCLcBGAsYHQ/s640/Chrome%2B0%2BDay.jpg
https://1.bp.blogspot.com/-5Ed-zf6v7fY/XcGFrJttVEI/AAAAAAAABu8/CJG6lp8LxEw0ouXT8gmnSJqiYy5FtwMhQCLcBGAsYHQ/s72-c/Chrome%2B0%2BDay.jpg
Arkavia Networks News
https://www.arkalabs.cl/2019/11/vulnerabilidad-de-dia-0-en-google.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2019/11/vulnerabilidad-de-dia-0-en-google.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy