El pasado 27 de febrero, Google confirmó el descubrimiento de un fallo de seguridad bastante grave en Chrome. Si bien los ingenieros ya han resuelto el problema en macOS, Linux y las últimas versiones de Windows, en Windows 7 de 32 bits la vulnerabilidad continúa presente. Los de Mountain View animan a todos los usuarios a descargar la última actualización —72.0.3626.121— inmediatamente para evitar cualquier problema.
El fallo se encuentra en el administrador de memoria "FileReader", una API (Interfaz de Programación de Aplicaciones, por sus siglas en inglés) que permite a aplicaciones web acceder a datos almacenados en una computadora. Según Chaouki Bekrar, director de la compañía de seguridad informática Zerodium, el error permite ejecutar comandos en el sistema operativo. De esta manera, hackers podrían ejecutar código malicioso para tener acceso a la información almacenada en el ordenador.
Google discovered a Chrome RCE #0day in the wild (CVE-2019-5786). Reportedly, a full chain with a sandbox escape: https://t.co/Nxfrvr5wIh
— Chaouki Bekrar (@cBekrar) March 6, 2019
In 2019, I expect epic 0days to be found in the wild: Android, iOS, Windows, Office, virtualization, and more. Stay safe and enjoy the show.
La empresa no ha ofrecido más detalles al respecto, ya que antes de revelar los alcances primero deben asegurar que la mayoría de personas ya instaló la actualización. Desafortunadamente para los usuarios de Windows 7 de 32 bits aún no existe una solución, pero aseguran que continúan trabajando para tenerla disponible en cuanto antes.
Una de las alternativas que proponen es actualizar a la última versión del sistema operativo: "Como consejo de mitigación para esta vulnerabilidad, los usuarios deberían considerar actualizar a Windows 10 si todavía están ejecutando una versión anterior de Windows y aplicar los parches de Microsoft cuando estén disponibles".
Por supuesto, Microsoft se encuentra al tanto de la situación. Los de Redmond hablaron con el portal The Verge, señalando que tienen un compromiso con el cliente "para investigar los problemas de seguridad informados y actualizar de manera proactiva lo antes posible".