Vulnerabilidad en Google Chrome
1. Riesgo y Mecanismo de Explotación
- Tipo de vulnerabilidad: Use-after-free en el componente Media Stream (CWE-416).
- Mecanismo de ataque:
- Un actor malicioso puede crear una página HTML manipulada que, al ser visitada, libera memoria pero sigue utilizándola (use-after-free). Esto causa corrupción del heap, permitiendo:
- Ejecución remota de código (RCE) en el sistema víctima.
- Denegación de servicio (DoS) o robo de datos confidenciales (contraseñas, información bancaria).
- Un actor malicioso puede crear una página HTML manipulada que, al ser visitada, libera memoria pero sigue utilizándola (use-after-free). Esto causa corrupción del heap, permitiendo:
- Gravedad:
- CVSS v3.1: 8.8 (Alta).
- Impacto: Compromiso de confidencialidad, integridad y disponibilidad del sistema.
2. Productos y Versiones Afectadas
| Sistema Operativo | Versiones Vulnerables | Versión Parcheada |
|---|---|---|
| Windows | < 138.0.7204.184 | 138.0.7204.184 |
| macOS | < 138.0.7204.184 | 138.0.7204.184 |
| Linux | < 138.0.7204.183 | 138.0.7204.183 |
| Nota: Versiones móviles (Android/iOS) no están afectadas. |
3. Estado de Explotación
- Explotación activa: No se han reportado casos públicos, pero Google restringió detalles técnicos para evitar ataques masivos durante la fase de actualización.
- Recompensa: Un investigador anónimo recibió $8,000 USD por reportar la vulnerabilidad.
4. Acciones Recomendadas
- Actualización inmediata:
- Windows/macOS: Ir a
Menú → Ayuda → Acerca de Google Chrome(versión segura: 138.0.7204.184). - Reiniciar Chrome después de actualizar para activar el parche.
- Windows/macOS: Ir a
5. Impacto de No Actualizar
- Alto riesgo de RCE: Un atacante podría tomar control total del sistema mediante una página web maliciosa.
- Exposición de datos: Robo de credenciales almacenadas, historial de navegación y cookies de sesión.
- Infección cruzada: El compromiso podría extenderse a redes internas si el dispositivo está conectado a VPN corporativas.
🔍 Recursos clave:
CSIRT-UC