Google advierte a miles de millones de usuarios de Chrome

03/29 Actualización a continuación. Esta publicación se publicó originalmente el 26 de marzo.

Google ha emitido una advertencia de actualización urgente a sus miles de millones de usuarios de Chrome en todo el mundo. Aquí está todo lo que necesita saber para mantenerse a salvo.

MÁS DE FORBESGoogle confirma un aumento en los ataques graves a Chrome, y por qué

Google emitió la advertencia en su blog oficial de Chrome, que reveló que Chrome en Windows, macOS y Linux es vulnerable a otro ataque de día cero (CVE-2022-1096). El día cero es la forma de ataque más peligrosa porque significa que los piratas informáticos conocían la vulnerabilidad antes de que Google pudiera proporcionar una solución. Como admite la empresa, “Google es consciente de que existe un exploit para CVE-2022-1096”. Esto significa que todos los usuarios de Chrome son vulnerables.

Actualización 28/03: Microsoft ahora ha confirmado que el mismo hack de día cero afecta a su navegador Edge. La compañía ha publicado una nueva actualización de su Centro de respuesta de seguridad confirma que el exploit afecta a todos los navegadores basados ​​en Chromium: “La vulnerabilidad asignada a este CVE reside en el software de código abierto (OSS) Chromium utilizado por Microsoft Edge (basado en Chromium)”. Esto significa que es muy probable que otros navegadores basados ​​en Chromium, incluidos Amazon Silk, Brave, Opera, Samsung Internet (incluido en sus teléfonos inteligentes Galaxy), Vivaldi y Yandex, se vean afectados.

Microsoft también confirma que lanzó una solución para Edge basada en la actualización de Chromium que Google ya lanzó para Chrome. Sigue estos pasos para conseguirlo:

  1. En su navegador Microsoft Edge, haga clic en los 3 puntos (…) en el lado derecho de la ventana
  2. Haga clic en ‘Ayuda y comentarios’
  3. Haga clic en ‘Acerca de Microsoft Edge’

Microsoft afirma que la versión parcheada de Edge es 99.0.1150.553, por lo que si su navegador muestra un número más bajo, aún es vulnerable.

Actualmente, Google está restringiendo la información sobre el exploit para ahorrar tiempo a los usuarios de Chrome para actualizar. Al momento de la publicación, la compañía solo ha revelado el nivel de amenaza (“Alto”), el área de ataque y quién lo descubrió (fue un aviso anónimo):

  • Elevado – CVE-2022-1096: Confusión de tipo en V8. Reportado por anónimo el 2022-03-23

Actualización 29/03: Las preocupaciones sobre esta vulnerabilidad continúan creciendo. BleepingEquipo ahora informa que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) ordenado todas las agencias federales para parchear inmediatamente el exploit CVE-2022-1096. La CISA también ha agregado el día cero a su “Catálogo de vulnerabilidades explotadas conocidas” y usa el hashtag #CriticalPatch. Además de advertir a las agencias de FCEB, CISA también enfatiza que todos los usuarios de Chrome en los sectores público y privado deben actualizar de inmediato para reducir la exposición a los ataques cibernéticos en curso.

Otras compañías de navegadores basados ​​en Chromium también están siguiendo el ejemplo de Google y lanzando actualizaciones de emergencia. Lo último de Brave Notas de lanzamiento confirmar que la versión parcheada de Chromium está disponible para el navegador, y mientras el Ópera y Blogs de Vivaldi aún no se han actualizado para reflejar sus últimas versiones, entiendo que ambos navegadores están usando la versión recientemente protegida de Chromium.

La realidad es que el software está pirateado. Es un juego continuo de gato y ratón entre desarrolladores y piratas informáticos y el crédito está principalmente en trabajar con especialistas en seguridad para descubrir y parchear errores de manera preventiva y minimizar el tiempo que un exploit de día cero está disponible antes de que esté listo un parche. Con más de 3 mil millones de usuarios, Chrome/Chromium es ahora uno de los software más específicos del mundo y Google reconoce el número. Los ataques de día cero están en aumentoDicho esto, los protocolos de seguridad han nunca he estado mejor (de algunas excepciones notables), aunque sí dependen de los usuarios para mantener su software actualizado. No seas el eslabón débil.

V8 es el componente de Chrome responsable del procesamiento de JavaScript, el motor en el corazón de Chrome, y el truco hace que el navegador ejecute un tipo diferente de código (en este caso malicioso). Los ataques V8 han sido relativamente raros en los últimos meses, pero pueden estar entre los más peligrosos si un pirata informático puede crear una explotación exitosa.

En respuesta, Google ha anunciado una actualización de emergencia para Chrome (99.0.4844.84) ​​”para Windows, Mac y Linux que se implementará en los próximos días/semanas”. Para comprobar la versión de su navegador, vaya a Configuración > Ayuda > Acerca de Google Chrome – esto también obliga a Chrome a buscar actualizaciones. Nota: no estará protegido hasta que reinicie el navegador.

Este es el segundo ataque de día cero de Chrome en 2022, un número relativamente bajo a pesar de la advertencia de Google de que los ataques de día cero van en aumento. No haga cambios, verifique su navegador ahora.

Sigue a Gordon en Facebook

Más sobre Forbes

Las actualizaciones de New Edge, Firefox, Chrome ‘100’ dañarán algunos sitios web

Google confirma un nuevo hack ‘crítico’ de Chrome y emite una solución urgente

Leave a Comment