1366 2000 1024x576 - Chrome tiene un fallo de seguridad importante

Contrase%C3%B1as Chrome 800x445 - Chrome tiene un fallo de seguridad importante

2019-12-27

Un equipo de investigadores han descubierto un bug crítico en Google Chrome. Conocido como Magellan 2.0, este fallo de seguridad es en realidad una serie de cinco vulnerabilidades relacionadas forma en al que Google Chrome usa la función SQLite para trabajar con los datos.

Magellan 2.0 es el nuevo fallo de seguridad de Google Chrome.

Esta nueva serie de vulnerabilidades han sido descubiertas por el equipo de investigadores de Tencent Blade. Los problemas de Magellan 2.0 se producen justo después de un año desde que el mismo equipo descubriera un conjunto similar de problemas dentro del navegador de Google.

Magellan 2.0 permite que un atacante pueda crear una operación SQL que contenga código malicioso. Cuando el motor de base de datos SQLite lee esta operación, puede ejecutar comandos en nombre del atacante. En un aviso de seguridad publicado hoy, el equipo de Tencent Blade señala que las fallas de Magellan 2.0 pueden conducir a «la ejecución remota de código, la pérdida de memoria del programa o la caída del programa».

Todos estos grupos de vulnerabilidades están relacionadas con cómo la entrada de datos es validada por la base de datos SQL incorporada en Chrome. Estos errores se encuentran especialmente en la forma en que su API WebSQL cambia el código JavaScript en comandos SQL.

En el mejor de los casos, cualquiera de estas cinco vulnerabilidades podría haber provocado la caída del navegador Chrome. En el peor de los casos, los investigadores afirman que las vulnerabilidades podrían haber permitido a un atacante configurar una operación SQL para secuestrar alguna parte de las funciones del navegador, a través de la ejecución remota de código.

Sin embargo, no hay necesidad de entrar en pánico, ya que Tencent Blade ya ha notificado a Google y SQLite sobre las vulnerabilidades, y estas han sido parcheadas en la última versión del navegador Google Chrome. Además, el equipo de Tencent Blade anunció que no han detectado ninguna explotación de las vulnerabilidades reportadas contra los usuarios de Internet en general.

0 13