Varias vulnerabilidades en Google Chrome podrían permitir la ejecución arbitraria de código

NÚMERO DE ASESORÍA DE MS-ISAC:

2021-106

FECHA (S) DE EMISIÓN:

09/01/2021

VISIÓN DE CONJUNTO:

Se han descubierto varias vulnerabilidades en Google Chrome, la más grave de las cuales podría permitir la ejecución de código arbitrario. Google Chrome es un navegador web que se utiliza para acceder a Internet. La explotación exitosa de la más grave de estas vulnerabilidades podría permitir a un atacante ejecutar código arbitrario en el contexto del navegador. Dependiendo de los privilegios asociados con la aplicación, un atacante podría ver, cambiar o eliminar datos. Si esta aplicación se ha configurado para tener menos derechos de usuario en el sistema, la explotación de la más grave de estas vulnerabilidades podría tener un impacto menor que si estuviera configurada con derechos administrativos.

INTELIGENCIA DE AMENAZAS:

Actualmente no hay informes de que esta vulnerabilidad se explote en la naturaleza.

SISTEMAS AFECTADOS:

  • Versiones de Google Chrome anteriores a 93.0.4577.63

RIESGO:

Gobierno:

  • Entidades gubernamentales grandes y medianas:  ALTA
  • Pequeñas entidades gubernamentales:  MEDIO

Negocios:

  • Empresas grandes y medianas:  ALTA
  • Entidades de pequeñas empresas:  MEDIO

Usuarios domésticos: BAJO

RESUMEN TÉCNICO:

Se han descubierto varias vulnerabilidades en Google Chrome, la más grave de las cuales podría permitir la ejecución de código arbitrario. Los detalles de las vulnerabilidades son los siguientes:  

  • Un uso después de que exista libre en el componente Blink. (CVE-2021-30606)
  • Existe un Use after free en el componente Permisos. (CVE-2021-30607)
  • Un uso después de que exista libre en el componente Web Share. (CVE-2021-30608)
  • Un uso después de que existe libre en el componente de inicio de sesión. (CVE-2021-30609)
  • Existe un Use after free en el componente API Extensions. (CVE-2021-30610)
  • Existe un Use after free en el componente WebRTC. (CVE-2021-30611, CVE-2021-30612)
  • Un uso después de que exista libre en el componente interno Base. (CVE-2021-30613)
  • Un desbordamiento del búfer de pila en el componente TabStrip. (CVE-2021-30614)
  • Una fuga de datos de origen cruzado en el componente de navegación. (CVE-2021-30615)
  • Un uso después de que exista libre en el componente Media. (CVE-2021-30616)
  • Existe una omisión de política en el componente Blink. (CVE-2021-30617)
  • Existe una implementación inapropiada en el componente DevTools. (CVE-2021-30618)
  • Existe una suplantación de interfaz de usuario en el componente Autocompletar. (CVE-2021-30619, CVE-2021-30621)
  • Existe una aplicación de política insuficiente en el componente Blink. (CVE-2021-30620)
  • Un uso después de que exista libre en el componente de aplicación web. (CVE-2021-30622)
  • Un uso después de que existe libre en el componente Marcador. (CVE-2021-30623)
  • Existe un Use after free en el componente Autocompletar. (CVE-2021-30624)

  La explotación exitosa de la más grave de estas vulnerabilidades podría permitir a un atacante ejecutar código arbitrario en el contexto del navegador. Dependiendo de los privilegios asociados con la aplicación, un atacante podría ver, cambiar o eliminar datos. Si esta aplicación se ha configurado para tener menos derechos de usuario en el sistema, la explotación de la más grave de estas vulnerabilidades podría tener un impacto menor que si estuviera configurada con derechos administrativos.

RECOMENDACIONES:

Recomendamos que se tomen las siguientes acciones:

  • Aplique la actualización de canal estable proporcionada por Google a los sistemas vulnerables inmediatamente después de las pruebas adecuadas.
  • Ejecute todo el software como un usuario sin privilegios (uno sin privilegios administrativos) para disminuir los efectos de un ataque exitoso.
  • Recuerde a los usuarios que no deben visitar sitios web que no sean de confianza ni seguir enlaces proporcionados por fuentes desconocidas o no confiables.
  • Informar y educar a los usuarios sobre las amenazas que plantean los enlaces de hipertexto contenidos en correos electrónicos o archivos adjuntos, especialmente de fuentes no confiables.
  • Aplicar el principio de privilegio mínimo a todos los sistemas y servicios.

REFERENCIAS:

Google:

https://chromereleases.googleblog.com/2021/08/stable-channel-update-for-desktop_31.html

CVE:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30606
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30607
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30608
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30609
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30610
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30611
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30612
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30613
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30614
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30615
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30616
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30617
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30618
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30619
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30620
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30621
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30622
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30623
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-30624

fuente: cisecurity