Una nueva vulnerabilidad amenaza a la seguridad de los usuarios de Google Chrome y Windows 7. Una brecha en la seguridad que de nuevo ha sido descubierta y publicada en el Blog de Seguridad de Google por los investigadores de Project Zero, el departamento encargado de encontrar vulnerabilidades en aplicaciones y sistemas operativos.
En este caso se trata de una vulnerabilidad para la cual se requiere el uso combinado tanto de Windows 7 como de Chrome, en ambos casos en equipos que no tengan el parche que lo soluciona instalado. Para llevar a cabo el ataque, el ciberdelincuente hace uso de una combinación de Chrome y Windows 7 para ejecutar código malicioso.
En el caso del navegador de Google, la empresa lanzó un parche destinado a corregir el fallo y ha pedido a los usuarios de Chrome que comprueben que su navegador se encuentra en la versión 72.0.3626.121 o superior y que por lo tanto ha corregido el riesgo por medio de la actualización (CVE-2019-5786) . Para ello, una vez actualizado Google Chrome, el usuario debe reiniciarlo para que el parche se instale y la protección sea efectiva.
El problema en este caso es que para que el ataque se efectúe también se requiere de otro agujero de seguridad, un segundo exploit que esta vez no depende de Google, pues se encuentra en Windows 7. Una brecha de seguridad que está relacionada con el kernel win32k.sys.
This link has more context on the 0day attack observed against Chrome. Separately, I want to expand on why it was important to call out this attack more prominently than previous 0day attacks against Chrome. [1/3] https://t.co/9rGkXa6BoI
— Justin Schuh 🗑 (@justinschuh) 7 de marzo de 2019
Al parecer, sólo los equipos que cuenten con un Windows 7 de 32 bits, estarían afectados, pues Microsoft ha mejorado la seguridad en versiones posteriores de Windows evitando el riesgo. El riego además es superior si pensamos como Windows 7 se acerca al final de su ciclo de vida de forma que las actualizaciones cada vez son menos frecuentes.
Desde Project Zero han pasado nota sobre el caso a Microsoft para que tome medidas y solucione el agujero de seguridad mientras aconsejan a los usuarios dar el salto a una versión más actual de su sistema operativo como es Windows 10.
Vía | ZDNet
Fuente | Blog de Seguridad de Google
Ver 1 comentarios