Parche de emergencia para Google Chrome: te pueden hackear si no actualizas
Google Chrome no para de recibir actualizaciones para incluir novedades y parchear errores. El popular navegador suele tener algún fallo grave cada poco tiempo, y ahora Google ha tenido que lanzar un parche apresuradamente para solucionar una grave vulnerabilidad que permite a un atacante hackearte.
El parche ha sido lanzado fuera de las actualizaciones normales por ser una vulnerabilidad crítica. La versión de Chrome a la que hay que actualizar para no verse afectado por ella es la 81.0.4044.113. El fallo, con código CVE-2020-6457, es tan grave que Google no ha querido dar detalles hasta que la mayoría de usuarios hayan actualizado el navegador. El fallo fue descubierto por Leecraso y Guang Gong de Alpha Lab, perteneciente a Qihoo 360, el pasado 4 de abril.
Un atacante puede hackear tu navegador de manera remota
Lo único que Google ha publicado es que la vulnerabilidad se trata de “Use after free in speech recognizer”. Lo primero que llama la atención es que haya un sistema de reconocimiento de voz integrado directamente en el navegador, ya que el uso de asistente de voz se hacía mediante la web de Google y no a través del navegador.
En segundo lugar, una vulnerabilidad del tipo “use after free” es un tipo de corrupción de memoria que permite a un atacante ejecutar código arbitrario. Para ello, se intenta acceder a memoria que acaba de ser liberada (de ahí el nombre de “usar después de ser liberada”), lo que puede hacer que se ejecute código para que un atacante pueda llegar a tener permiso para hacer lo que quiera dentro del navegador. Y además, podía hacerse de manera remota para robar datos personales, lo que parece que se podía conseguir en el ordenador de cualquier usuario que visite una web controlada por un hacker, de ahí que sea tan peligrosa.
El fallo es tan grave que Google no ha querido decir de qué se trata
Como Google no ha querido decir de qué se trata el fallo, la única manera de saber qué arregla el parche es mirar el código del navegador, ya que el proyecto es de código abierto y se puede deducir qué arregla el parche con sólo mirarlo, pero de momento nadie lo ha comprobado. En cuanto alguien lo mire, pueden deducir de qué se trataba el fallo e intentar aprovecharlo en las versiones que todavía sean vulnerables. Por ello, cuanto más tiempo tarde el público en conocer de qué se trata el fallo, mejor.
Además, el parche no ha estado instalándose de manera automática en los ordenadores de muchos usuarios, para lo cual Google decía que tardaría “días o semanas” en llegar a todos, lo cual es preocupante. Por ello, es recomendable actualizar Chrome yendo a Menú > Ayuda > Información de Chrome. Ahí, al comprobar nuestra versión actual, el navegador empezará a descargar la última versión disponible para poder estar a salvo.