El pasado 23 de octubre se lanzaba la versión estable de Google Chrome 78. Esta llegaba con la posibilidad de forzar el modo oscuro en cualquier web y otras mejoras, además de cerrar varios agujeros de seguridad. Sin embargo, la compañía no ha tardado en lanzar una actualización urgente para esta versión de su navegador. Esto se debe a que han encontrado dos vulnerabilidades muy graves que están siendo aprovechadas por ciberdelincuentes para atacar a los usuarios. Por todo esto, corre y actualiza Google Chrome lo antes posible.

Google Chrome 78 es la última versión disponible del navegador para Windows, Linux y Mac, además de iOS y Android. Entre sus novedades, tenemos mejoras en la sección Nueva pestaña, la posibilidad de forzar el modo oscuro de las webs mediante el menú de experimentos (chrome://flags), nueva información al pasar el ratón sobre las pestañas (Tab Hover Cards) o mejoras en la integración con Google Drive.

A nivel de seguridad, se corrigieron 37 vulnerabilidades en esta versión, incluyendo una que permitía hacer spoofing de URL en el navegador (CVE-2019-13701). Google pagó la friolera de 36.000 dólares para los responsables de descubrir las vulnerabilidades. Sin embargo, eso no fue suficiente y ahora han tenido que lanzar una actualización urgente para Google Chrome por dos vulnerabilidades muy graves.

Actualiza ya a Google Chrome 78.0.3904.87 para evitar los posibles ataques

Google acaba de lanzar Chrome 78.0.3904.87 para todos los usuarios con Windows, macOS y Linux. Esta es una actualización urgente y muy importante ya que cierra dos agujeros de seguridad considerados como muy graves. Este parche ha sido lanzado de forma urgente y todos los usuarios deben actualizar a la mayor brevedad posible.

El problema es que una de las dos vulnerabilidades críticas está siendo aprovechada por ciberdelincuentes para atacar a los usuarios. Aunque Google no ha desvelado datos técnicos de las vulnerabilidades por razones obvias (evitar que los ataques puedan aumentar), sí han confirmado que una de ellas afecta a los componentes de audio de Chrome (CVE-2019-13720) y la otra a la librería PDFium (CVE-2019-13721).

Ambas son del tipo use-after-free (UAF). Estas permiten a un atacante el acceso a la memoria después de que ha sido liberada. Esto puede ocasionar un fallo en el programa, permitir la ejecución de código arbitrario o habilitar la ejecución de código remoto completo. Por eso, son consideradas de alta gravedad y la recomendación es actualizar lo antes posible.

La vulnerabilidad que está siendo aprovechada para atacar el navegador es la relacionada con los componentes de audio de Chrome (CVE-2019-13720) y fue reportada por los investigadores Anton Ivanov y Alexey Kulaev de Kaspersky. Por el momento, se desconocen más detalles sobre los ataques, su cuantía o qué grupo de hackers podrían estar detrás.