Google libero una nueva actualización de emergencia de su navegador Google Chrome, en la cual la nueva versión 79.0.3945.130 llega con la finalidad de solucionar tres vulnerabilidades que fueron catalogadas como críticas y una de las cuales va dirigida a una que Microsoft corrigió un error potencialmente peligroso que permitiría a un atacante falsificar un certificado al pretender que proviene de una fuente confiable.
Ya que la Agencia de Seguridad Nacional (NSA) informó a Microsoft de la vulnerabilidad que afecta a Windows 10, Windows Server 2016, Windows Server 2019 y Windows Server versión 1803, según un informe de la agencia gubernamental.
Sobre los fallos solucionados
La falla afectó el cifrado de las firmas digitales utilizadas para autenticar el contenido, incluido el software o los archivos. Si se explota, esta falla podría permitir a las personas mal intencionadas enviar contenido malicioso con firmas falsas que lo hagan parecer seguro.
Es por ello que Google lanzó la actualización de Chrome 79.0.3945.130, que ahora detectará los certificados que intentan explotar la vulnerabilidad CryptoAPI Windows CVE-2020-0601 descubierta por la NSA.
Como ya se mencionó, la vulnerabilidad permite a los atacantes crear TLS y certificados de firma de código que se hacen pasar por otras compañías para realizar ataques de intermediarios o crear sitios de phishing.
Como los PoC que explotan la vulnerabilidad CVE-2020-0601 ya se han publicado, el editor considera que es solo cuestión de tiempo que los atacantes comiencen a crear fácilmente certificados falsificados.
Chrome 79.0.3945.130, por lo tanto, viene a verificar aún más la integridad del certificado de un sitio web antes de autorizar a un visitante a acceder al sitio. Ryan Sleevi de Google agregó el código para la verificación de doble firma en canales verificados.
Otro de los problemas críticos que se solucionaron con esta nueva versión, era un fallo que permite a todos los niveles de derivación de seguridad del navegador ejecutar código en el sistema, fuera del recinto de seguridad y medio ambiente.
Los detalles sobre la vulnerabilidad crítica (CVE-2020-6378) aún no se han revelado, solo se sabe que es causada por una llamada al bloque de memoria ya liberado en el componente de reconocimiento de voz.
Otra de las vulnerabilidades solucionadas (CVE-2020-6379) también está asociada con una llamada al bloque de memoria ya liberado (Use-after-free) en el código de reconocimiento de voz.
Mientras que un problema de menor impacto (CVE-2020-6380) es causado por un error al verificar los mensajes de los complementos.
Finalmente Sleevi reconoció que esta medida de control no es perfecta, pero que es suficiente por el momento mientras los usuarios implementan actualizaciones de seguridad para sus sistemas operativos y que Google se está moviendo hacia mejores verificadores
No es perfecto, pero este control de seguridad es suficiente, es el tiempo para que pasemos a otro verificador o para reforzar el bloqueo de los módulos 3P, incluso para CAPI.
Si quieres conocer más al respecto sobre la nueva actualización de emergencia lanzada para el navegador, puedes consultar los detalles en el siguiente enlace.
¿Cómo actualizar Google Chrome en Ubuntu y derivados?
Para poder realizar la actualización del navegador a la nueva versión, se pude realizar el proceso de dos formas diferentes.
La primera de ellas es simplemente ejecutando un apt update y apt upgrade desde la terminal (esto tomando en cuenta que realizaste la instalación del navegador añadiendo su repositorio al sistema).
Entonces para realizar este proceso, basta con abrir una terminal (puedes hacerlo con el atajo de teclas Ctrl + Alt + T) y en ella vas a teclear los siguientes comandos:
sudo apt update sudo apt upgrade
Finalmente, el otro método, es si realizaste la instalación del navegador desde el paquete deb que descargas desde el sitio web oficial del navegador.
Aquí te toca volver a realizar el mismo proceso, de descargar el paquete .deb del sitio web y luego instalarlo a través del administrador de paquetes dpkg.
Aun que este proceso lo podemos realizar desde la terminal ejecutando los siguientes comandos:
wget https://dl.google.com/linux/direct/google-chrome-stable_current_amd64.deb sudo dpkg -i google-chrome * .deb sudo apt-get install -f