GOOGLE ANUNCIA LA DISPONIBILIDAD DE CHROME 89

CHROME 89

DISPONIBILE CHROME 89

Google ha anunciado esta semana la disponibilidad de Chrome 89 en el canal estable, con parches para un total de 47 vulnerabilidades, entre ellas una que ha sido explotada abiertamente en línea. Rastreado como CVE-2021-21166, el agujero de seguridad de día cero se describe como un «problema del ciclo de vida de los objetos en el sistema de audio» y se cataloga como de alta gravedad.

El fallo fue notificado por Alison Huffman, de Microsoft Browser Vulnerability Research, y es el segundo de este tipo que se aborda en Chrome 89, junto a CVE-2021-21165, también calificado de alto riesgo.

«Google es consciente de los informes de que existe un exploit para CVE-2021-21166 dando vueltas en línea»

Señaló el gigante de Internet, sin proporcionar más detalles sobre la explotación, el impacto o los vectores de ataque.

El fallo es sólo uno de los 32 que fueron reportados por investigadores externos y parcheados con el lanzamiento de Chrome 89. Entre ellos se encuentran 8 problemas calificados como de gravedad alta, 15 considerados de gravedad media y 9 que tienen una calificación de gravedad baja.

Los 6 problemas restantes de gravedad alta incluyen desbordamientos del búfer de la pila en TabStrip (CVE-2021-21159, CVE-2021-21161) y WebAudio (CVE-2021-21160), un use-after-free en WebRTC (CVE-2021-21162) y una validación de datos insuficiente en el Modo Lector (CVE-2021-21163) y en Chrome para iOS (CVE-2021-21164).

Los fallos de gravedad media que se han corregido con esta versión son los siguientes:

  • Errores de uso después de la liberación en los marcadores, en los componentes internos de la red y en la búsqueda de pestañas.
  • Aplicación insuficiente de políticas en la caché de aplicaciones, en la API del sistema de archivos y en la función de relleno automático.
  • Acceso a memoria fuera de los límites en V8.
  • Interfaz de usuario de seguridad incorrecta en el cargador y en la tira de pestañas y la navegación.
  • Fuga de información por canal lateral en los componentes internos de la red y en la función de relleno automático.
  • Implementaciones inadecuadas en Referrer, Site isolation, en el modo de pantalla completa y en la composición.
  • Arreglo a un desbordamiento del búfer de la pila en OpenJPEG.

Los fallos de bajo riesgo que se han solucionado con esta actualización del navegador incluyen la aplicación de políticas insuficientes, la implementación inadecuada, la validación de datos insuficiente, arreglos a la característica use-after-free y los problemas de uso antes de la inicialización del navegador.

Google afirma que ha pagado más de 60.000 dólares en recompensas por errores a los investigadores que han informado. Sin embargo, la empresa aún no ha revelado las recompensas pagadas por aproximadamente la mitad de las vulnerabilidades notificadas externamente.

Fuente: Google

5 13 votos
Califica el Artículo
 
Subscribete
Notificar de
2 Reacciones
Más populares
Más nuevos Más antiguos
Opinión desde el articulo
Ver todos los comentarios
profiler 2.0
profiler 2.0 (@profiler-2-0)
Autor
7 meses atrás

la siguen pechiando los de google…ni hablar.

Vicente Blanco
Vicente Blanco (@vicente544blanco)
Miembro
6 meses atrás

¿Hora de abandonar Chrome? Existen muchas opciones hasta mejores.

2
0
Nos gustaría saber lo que piensas, Únete a la discusión.x
()
x