Nuevas vulnerabilidades en Windows y en Chrome
Hoy nada nos sorprende cuando a seguridad informática se refiere. Vimos que Twitter fue hackeado, que la aplicación Zoom sigue presentando diversos problemas, aun cuando se han solucionado la mayoría de ellos. Esta vez es Microsoft quien recomienda varias medidas de seguridad a sus usuarios, dado que recientemente se han descubierto unas 120 vulnerabilidades, de las cuales 17 son críticas y algunas son zero day, que aparentemente afectan a todas las versiones de Windows. Tremendo. Las más destacadas son estas:
- Microsoft media foundation, sistema encargado de gestionar todos los medios digitales desde Windows Vista hasta Windows 10, es vulnerable al momento de asignarle memoria a diversos procesos, permitiendo instalar programas o crear usuarios con todos los privilegios dentro del sistema (CVE-2020-1525). Esto mismo sucede con los diferentes códecs de Windows (CVE-2020-1585). Lo que significa que podemos ser hackeados al reproducir un video o un audio.
- También podemos ser hackeados al revisar nuestro correo electrónico con Outlook, debido a la vulnerabilidad CVE-2020-1483. Un atacante que convenza a su víctima de abrir un archivo adjunto enviado, puede acceder a privilegios de superusuario si la víctima ha iniciado sesión como administrador, pudiendo ejecutar código, crear perfiles de usuarios, borrar datos, entre otros.
- Otra vulnerabilidad crítica es la CVE-2020-1567, que permite al atacante ejecutar código malicioso, borrar datos y crear usuarios con todos los privilegios cuando la víctima ha iniciado sesión como administrador. El hackeo se puede producir al editar un archivo HTML mediante el motor Trident o MSHTML incorporado en Internet Explorer.
- No podemos olvidar que Internet Explorer se ha ganado la popularidad de ser el explorador más inseguro, y dado que viene preinstalado en los sistemas operativos Windows, y que además muchos usuarios lo usan dado que no saben cómo instalar Chrome o Firefox, seremos directamente vulnerables al momento de navegar por Internet, o al abrir un archivo PDF en el explorador, sea Internet Explorer o Microsoft Edge.
Si eres usuario de Windows debes estar sintiendo terror, sin embargo, como Microsoft ya está enterado de este gran problema, lo que debes hacer es ir a ‘Actualización y Seguridad’ en las opciones de Windows para ejecutar todas las actualizaciones disponibles y evitar posibles hackeos. Si has llegado hasta el sitio de Microsoft a ver el detalle de estas vulnerabilidades, seguro te diste cuenta que fueron solucionadas apenas esta semana, y que además afectan a todas las versiones de Windows, lo mejor apresurarnos a actualizar.
Como medida adicional, es altamente recomendable actualizar también los exploradores que utilices, ya que de acuerdo a la vulnerabilidad CVE-2020-6519 encontrada en marzo de 2019, pero que recién en 2020 se percataron de ella, sitios como Facebook, Wells Fargo, Zoom, Gmail, WhatsApp, Investopedia, ESPN, Roblox, Indeed, TikTok, Instagram, Blogger, y Quora, son vulnerables a ataques que afecten las reglas del Content Security Policy (CSP) de Chrome 73. Es decir, versiones desactualizados de exploradores como Chrome, Opera o Edge, ejecutados desde sistemas operativos como Windows, Mac y Android, corren riesgos de ser hackeados mediante diversos ataques, tales como Cross-Site Scripting (XSS) y ataques de inyección de código.
Recientemente se ha publicado la actualización de Chrome 84.0.4147.125, que arregla 15 vulnerabilidades adicionales a la que nos referimos más arriba, de las cuales 12 están clasificadas como alta prioridad.
Si te gusta lo que leíste, puedes seguirnos en Facebook.