Google lanzó una actualización de su navegador Chrome que corrige una vulnerabilidad de día cero en la librería de representación de fuentes FreeType que estaba siendo explotada activamente.
El investigador de seguridad Sergei Glazunov de Google Project Zero descubrió el fallo, que correspondió a un desbordamiento de búfer de pila en la librería de tipo de letra FreeType. Glazunov informó a Google de la vulnerabilidad el lunes. Project Zero es un equipo de seguridad interno de la empresa cuyo objetivo es encontrar vulnerabilidades de día cero.
El martes pasado, Google ya había lanzado una actualización estable, Chrome versión 86.0.4240.111, que implementa cinco correcciones de seguridad para Windows, Mac y Linux, entre ellas una corrección para el día cero, que se rastrea como CVE-2020-15999. y está clasificado como de alto riesgo.
Además del día cero FreeType, Google corrigió otros cuatro errores, tres de alto riesgo y uno de riesgo medio, en la actualización de Chrome lanzada esta semana. Las vulnerabilidades de alto riesgo son: CVE-2020-16000, CVE-2020-16001 y CVE-2020-16002; mientras que el fallo de riesgo medio ha sido identificado como CVE-2020-16003
Hasta ahora, en los últimos 12 meses, Google ha parcheado tres vulnerabilidades de día cero en su navegador Chrome. Antes de la divulgación de FreeType de esta semana, la primera fue una vulnerabilidad crítica de ejecución remota de código parcheada la noche de Halloween y rastreada como CVE-2019-13720, y la segunda fue un tipo de error de confusión de memoria rastreada como CVE-2020-6418 que se corrigió en Febrero.
La recomendación de seguridad para los usuarios finales es actualizar Google Chrome a la última versión disponible, según corresponda para los diferentes sistemas operativos.
Referencias