Este es el segundo par de días cero que Google corrige este mes, los cuatro han sido explotados activamente en la naturaleza.
Google ha lanzado una actualización de emergencia de Chrome para corregir otro par de días cero -el segundo par este mes- que están siendo explotados en la naturaleza.
Esto eleva el número total de días cero encontrados este año en el navegador a una docena.
El jueves por la noche, el Goliat de la web lanzó la versión del canal estable de Chrome 94.0.4606.71 para Windows, Mac y Linux para corregir los dos días cero, que se incluyeron en una actualización con un total de cuatro correcciones de seguridad.
«Google es consciente de que los exploits para CVE-2021-37975 y CVE-2021-37976 existen en la naturaleza», reveló Google con la publicación de las correcciones del navegador.
No hay detalles para Zero Days
Al igual que hizo con el par de días cero que estaban siendo explotados en la naturaleza a principios de este mes, Google está manteniendo los detalles técnicos cerca del chaleco, al menos hasta que la mayoría de los usuarios han tenido la oportunidad de conectar la actualización. La compañía ha empezado a distribuir Chrome 94.0.4606.71 a usuarios de todo el mundo en el canal de escritorio estable, y debería estar disponible para todos los usuarios en los próximos días.
«El acceso a los detalles y enlaces de los fallos puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una corrección», dijo la compañía en la actualización de seguridad del jueves. «También mantendremos las restricciones si el fallo existe en una biblioteca de terceros de la que dependen otros proyectos de forma similar, pero que aún no se ha corregido».
Aquí están los detalles de los dos días cero:
- CVE-2021-37976 se describe como una «fuga de información en el núcleo» y se le asignó un nivel de gravedad Medio. Fue descubierta por Clément Lecigne, del Grupo de Análisis de Amenazas (TAG) de Google, y comunicada el martes de la semana pasada, 21 de septiembre. El mérito de la asistencia técnica se debe también a Sergei Glazunov y Mark Brand de Google Project Zero.
- El CVE-2021-37975 es un fallo de usuario después de libre en el motor de JavaScript V8. Informado el domingo 26 de septiembre por un colaborador anónimo, es uno de los dos fallos de la actualización del jueves que fueron calificados como de alta gravedad. V8 es el motor de JavaScript y WebAssembly de alto rendimiento y de código abierto de Google para los navegadores Chrome y Chromium. Traduce el código JavaScript a un código máquina más eficiente en lugar de utilizar un intérprete, lo que acelera el navegador web. Dado que este componente vulnerable no es específico de Google Chrome, es muy probable que otros navegadores también se vean afectados por el fallo.
El segundo fallo de alta gravedad que Google abordó el jueves, CVE-2021-37974, es otra vulnerabilidad de uso después de la liberación: esta vez, en la navegación segura.
El par anterior de días cero que Google abordó este mes en una actualización del 13 de septiembre, CVE-2021-30632 y CVE-2021-30633, también estaban siendo explotados activamente en la naturaleza. La primera era una escritura fuera de los límites en el motor JavaScript V8, y la segunda era una vulnerabilidad de uso después de libre en la API IndexedDB.
Uso después de la gratuidad
Los problemas de uso después de la liberación pueden dar lugar a un gran número de ataques, que van desde la corrupción de datos válidos hasta la ejecución de código arbitrario. En su artículo para la serie InfoSec Insider de Threatpost, el director general de Gurucul, Saryu Nayyar, ha descrito estos fallos como una de las debilidades de software más peligrosas del año.
Según Nayyar, las vulnerabilidades «use-after-free» implican la manipulación de la memoria: «Cuando una aplicación necesita memoria para una variable, asigna esa memoria mediante programación o la plataforma subyacente (JVM o .NET Runtime)», escribió a principios de este mes. «Cuando la aplicación termina con esa memoria, o bien ella o la plataforma la devuelve a la lista de memoria libre».
Pero si un atacante ha conseguido la dirección de la memoria, el actor «puede acceder a la lista de memoria libre e insertar software malicioso en la memoria libre», continuó Nayyar. «La próxima vez que se asigna esa memoria, se asigna con una carga útil que puede causar daño. Además, la memoria no se limpia cuando se devuelve a la lista de memoria libre, lo que permite a los atacantes leer el contenido de esa memoria».
Señaló que algunos depuradores comerciales pueden mirar dentro de un proceso en ejecución y permitir a los programadores -o a los atacantes- obtener información utilizando las ubicaciones de memoria. «Aunque este tipo de depuradores son necesarios, cualquier herramienta que permita a los atacantes mirar en direcciones de memoria específicas para determinar su contenido tiene el potencial de ser utilizada como herramienta de hacking», aconsejó Nayyar.