El equipo de investigación de vulnerabilidades del navegador de Microsoft ha encontrado e informado una vulnerabilidad en el componente de audio de Google Chrome. Google ha solucionado esta vulnerabilidad de alta gravedad ( CVE-2021-21166 ) en su navegador Chrome y advierte a los usuarios de Chrome que existe un exploit en la naturaleza para la vulnerabilidad. No es la primera vez que un exploit ataca el componente de audio de Chrome.

No hay detalles disponibles

Los detalles adicionales sobre la vulnerabilidad están restringidos hasta que la mayoría de los usuarios de Chrome se hayan actualizado a la versión parcheada del software. Lo que sí sabemos es que se trata de un problema del ciclo de vida de un objeto en el componente de audio del navegador.

Un ciclo de vida de un objeto se utiliza en la programación orientada a objetos para describir el tiempo entre la creación de un objeto y su destrucción. Fuera del ciclo de vida, el objeto ya no es válido, lo que podría generar una vulnerabilidad.

Por ejemplo, si todo sale según lo planeado con el ciclo de vida, la cantidad correcta de memoria de la computadora se asigna y se recupera en los momentos adecuados. Si no funciona bien y la memoria está mal administrada, eso podría conducir a una falla, o vulnerabilidad, en el programa.

Más vulnerabilidades parcheadas en la actualización

Como es habitual, Google corrigió varias otras vulnerabilidades y errores en la misma actualización. Algunas de las otras vulnerabilidades se enumeraron con alta gravedad:

Google dijo que solucionó tres fallas de desbordamiento del búfer de pila en los componentes TabStrip ( CVE-2021-21159 , CVE-2021-21161 ) y WebAudio ( CVE-2021-21160 ). Se encontró un error de uso después de la liberación de alta gravedad ( CVE-2021-21162 ) en WebRTC. Otras dos fallas de alta gravedad incluyen un problema de validación de datos insuficientes en el modo de lectura ( CVE-2021-21163 ) y un problema de validación de datos insuficientes en Chrome para iOS ( CVE-2021-21164 ).

Los CVE

Las fallas de seguridad informática divulgadas públicamente se enumeran en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE). Su objetivo es facilitar el intercambio de datos a través de capacidades de vulnerabilidad separadas (herramientas, bases de datos y servicios).

  • CVE-2021-21159, CVE-2021-21161: Desbordamiento del búfer de pila en TabStrip. Montón es el nombre de una región de la memoria de un proceso que se utiliza para almacenar variables dinámicas. Un desbordamiento de búfer es un tipo de vulnerabilidad de software que existe cuando un área de memoria dentro de una aplicación de software alcanza su límite de dirección y escribe en una región de memoria adyacente. En el código de explotación de software, dos áreas comunes que están destinadas a los desbordamientos son la pila y el montón.
  • CVE-2021-21160: Desbordamiento del búfer de pila en WebAudio.
  • CVE-2021-21162: Úselo después de forma gratuita en WebRTC. Use after free (UAF) es una vulnerabilidad debido al uso incorrecto de la memoria dinámica durante el funcionamiento de un programa. Si después de liberar una ubicación de memoria, un programa no borra el puntero a esa memoria, un atacante puede usar el error para manipular el programa. WebRTC permite a los programadores agregar capacidades de comunicación en tiempo real a su aplicación.
  • CVE-2021-21163: Validación de datos insuficiente en modo Lector. Una validación de datos insuficiente podría permitir a un atacante utilizar entradas especialmente diseñadas para manipular un programa.
  • CVE-2021-21164: Validación de datos insuficiente en Chrome para iOS.

Cuando salgan a la luz más detalles sobre las vulnerabilidades, es posible que se encuentren más exploits en la naturaleza. Depende mucho de qué tan fácil sea abusar de ellos y qué tan grande puede ser el posible impacto. Pero con uno que ya se está utilizando en la naturaleza, es aconsejable actualizarlo ahora.

Como actualizar

La forma más fácil de hacerlo es permitir que Chrome se actualice automáticamente, que básicamente utiliza el mismo método que describí a continuación, pero no requiere su atención. Pero puede terminar rezagado si nunca cierra el navegador o si algo sale mal, como una extensión que le impide actualizar el navegador.

Por lo tanto, no está de más comprobarlo de vez en cuando. Y ahora sería un buen momento.

Mi método preferido es que Chrome abra la página chrome: // settings / help, que también puede encontrar haciendo clic en Configuración> Acerca de Chrome .

Si hay una actualización disponible, Chrome se lo notificará y comenzará a descargarla. Luego le dirá que todo lo que tiene que hacer para completar la actualización es reiniciar el navegador.

Chrome actualizado
Después de la actualización, su versión debería estar en 89.0.4.4389.72 o posterior