Un técnico de seguridad web, Rajvardhan Agarwal, publicó en su cuenta de Twitter un enlace de GitHub a lo que parece ser una nueva falla en los navegadores que dependen de Cromo: el motor de botones de navegadores como Chrome, Microsoft Edge, Vivaldi y otros.
La vulnerabilidad se define como tipo 0-día precisamente porque han pasado cero días desde que fue reconocido por el desarrollador. Por lo tanto, tiene "cero días" para corregir la falla antes de que alguien pueda escribir un exploit. Para cuando se corrige el error, el día 0 pierde parte de su importancia original porque ya no se puede usar en sistemas actualizados.
No hay nada de qué preocuparse
Agarwal escribe de nuevo que la vulnerabilidad se eliminó en la última actualización del motor JavaScript V8. Sin embargo, todavía no sabemos cuándo llegará esta actualización a nuestros dispositivos. La próxima versión de Google Chrome será la número 90 y, por supuesto, hará el cambio que corrige esta vulnerabilidad. La fecha de lanzamiento aún no se ha fijado, pero se espera a corto plazo.
Solo aquí para dejar caer un cromo 0day. Sí, lo leíste bien.https: //t.co/sKDKmRYWBP pic.twitter.com/PpVJrVitLR
- Rajvardhan Agarwal (@ r4j0x00) 12 de abril de 2021
Esta demostración muestra que la vulnerabilidad, si se inserta en el JavaScript del navegador, puede iniciar la calculadora. Este es un pequeño ejemplo para demostrar que dentro del navegador, puede ejecutar de forma remota cualquier ejecutable.
Esta vulnerabilidad es la misma que utilizan los investigadores. Bruno Keith y Niklas Baumstark de Dataflow Security, por piratear Google Chrome y Microsoft Edge en la carrera de los piratas informáticos, del Pwn2Own 2021
Únase a nuestra comunidad en Facebook, o nuestro canal de Telegram para estar al día de todas las novedades.
