Google ha confirmado el equipo de Seguridad e Ingeniería de Apple (SEAR) ha descubierto una vulnerabilidad de seguridad muy severa en el navegador web Chrome. Además, el SEAR ha recibido una recompensa de 15.000 dólares por el descubrir y dar a conocer el fallo. Por sorprendente que pueda resultar a algunos de nuestros lectores, Google ha pagado a Apple por efectivamente hackear la segurida de Chrome; y es algo bueno.
¿Qué es el SEAR de Apple?
El equipo SEAR de Apple tiene la tarea de proveer una base para operar un sistema de seguridad en toda las bastas línea de productos tecnológicos de la compañía de Cupertino. Los investigadores de seguridad en el SEAR son más conocidos, por supuesto, por descubrir vulnerabilidad en los productos de iOS. Si esto llega a pasar en algo relacionado con un producto de un tercero como parte de un proceso de seguridad en marcha, entonces se hace una revelación responsable. La noticia de esta particular revelación llegó el 2 de agosto en un anuncio de actualización de Chrome confirmando 11 arreglos de seguridad como resultado de informes de vulnerabilidad de un contribuidor externo.
Google pagó a Apple 15.000 dólares por CVE-2023-4072
CVE-2023-4072 es una vulnerabilidad en la implementación de WebGL de Chrome de «lectura y escritura fuera de los límites«. WebGL es un interfaz de programación de aplicaciones de JavaScript que permite el renderizado de gráficos interactivos en el navegador y sin que se requiera ningún plug-in. Una vulnerabilidad «fuera de los límtes» existe cuando un programa puede leer, y en su caso escribir, datos desde fuera de los límite de una determinada área de memoria.
Google no ha revelado mucho de esta vulnerabilidad, manteniendo los detalles técnicos restringidos hasta que una mayoría de los usuarios de Chrome hayan activado la actualización. De acuerdo con la plataforma de amenzazas inteligentes, Vulnerability Database, sin embargo, «se conoce que afecta la confidencialidad, la integriad y la disponibilidad«. Además, VulnDB dice que se necesita la interacción de los usuarios para una explotación satisfactoria. Tampoco se conoce ninguna explotación hasta ahora, lo que son buenas noticias.
Google ha pagado un total de 123.000 dólares en recompensas de este tipo
En total, Google ha entregado recompensas por un total de 123.000 dólares por vulnerabilidades confirmadas en la última actualización, lo que lleva a Chrome a las versiones 115.0.5790.170 para Mac y Linux, y 115.0.5790.170/.171 para Windows.
La mayor recompensa fue para ‘Jerry‘ por CVE-2023-4068, una vulnerabilidad de confusión de estilo en el motor JavaScript V8 de Chrome y llegó a los 23.000 dólares. Jerry recogió una recompensa posterior de 20.000 dólares por CVE-2023-4070, otra vulnerabilidad de confusión de estilo en V8.
Man Yue Mo, del GitHub Security Lab recibió 21.000 dólares por, te lo imaginarás, otra vulnerabilidad de confusión de estilo en el motor V8 de Chrome, etiquetada como CVE-2023-4069.
Una recompensa de 17.000 dólares fue a parar a Guang y Weipeng Jian de VRI por CVE-2023-5071, una vulnerabilidad en la función visual.
Jaehun Jeong de Theori, recibió 10.000 dólares por informar de una vulnerabilida, CVE-2023-4073, en el software ANGLE (Almost Native Graphics Layer Engine) desarrollado por Google.
Se pagó una recompensa de 8.000 dólares por CVE-2023-4074, una vulnerabilidad expuesta por un investigador anónimo que en el Blink Task Scheduling de Google.
Cassidy Kim informó de CVE-2023-4075, una vulnerabilidad use-after-free en Google Cast y se llevó 5.000 dólares.
Unos investigadores anónimos recibieron 3.000 y 1.000 dólares, respectivamente, por CVE-2023-4077 y CVE-2023-4078, vulnerabilidades que impactaban la funcionalidad de las extensiones de Chrome.
Cómo asegurar Google Chrome
Las actualización para el navegador de Chrome se están descargando automáticamente y Google ha empezado ya a desplegar las nuevas correcciones de seguridad. Mi consejo es siempre asegurarse que estás al día yéndote a la opción Ayuda|Sobre en el menú de Chrome, lo que iniciará una descarga de la última actualización. Para que la actualización se active y te protega contra la exposición de estas vulnerabilidades, sin embargo, necesitas reiniciar el navegador.
