Google Chrome recomendó actualizar a la última versión, tras detectar una falla de seguridad

La compañía estadounidense Google lanzó una actualización de emergencia tras detectar un problema en la versión de Chrome para los usuarios de ordenador, que puede estar siendo aprovechado por ‘hackers’ o delincuentes cibernéticos. Desde la empresa apuntan en su blog que la actualización para Windows, Mac y Linux ya está disponible en el canal estable con la numeración v99.0.4844.84.

Google también informó que esta actualización llegará “en los próximos días y semanas” a todos los dispositivos. La compañía optó por no dar más detalles de la amenaza, que consideran “alta” (la segunda categoría más grave solo por detrás de crítica), “hasta que la mayoría de usuarios se actualicen”.

Lo anterior con el objetivo de evitar la difusión de información sensible sin dar la oportunidad a que el usuario medio esté protegido. Por ahora solo se sabe que esta vulnerabilidad se ha recogido bajo la nomenclatura CVE-2022-1096, que fue un usuario anónimo quien la reportó el pasado 23 de marzo, y que la compañía es consciente de que está siendo activamente explotada.

Para comprobar si se tiene o no esta actualización, se puede consultar desde ‘Ayuda’ (dentro del menú desplegable que aparece al clicar arriba a la derecha en los tres puntos verticales). A continuación, se debe presionar sobre ‘Información de Google Chrome’ y, finalmente, reiniciar el navegador cuando se indique en pantalla.

Esta actualización llega mes y medio después de que Google lanzase otro parche para corregir un total de once fallos avistados en su navegador. Además, el pasado 21 de marzo se conoció que los usuarios del navegador Google Chrome estaban expuestos a sufrir un ataque de ‘navegador en el navegador’ o BitB (browser-in-the-browser).

¿Riesgo al iniciar sesión desde Twitter o Facebook?

La compañía informó que el riesgo de ataque BitB (browser-in-the-browser) radicaba al intentar iniciar sesión en una página web desde una cuenta de Google, Twitter o Facebook, entre otras redes sociales.

El usuario del navegador de Google que quiera ahorrar tiempo a la hora de iniciar sesión en un sitio web usando su cuenta de Gmail, Facebook o Twitter, puede hallarse ante una ventana emergente (o ‘pop-up’) muy similar a la real que entrega los datos personales a un hacker, no a un sitio de confianza, a través de la técnica conocida como ‘phishing’.

Según informa la web Android Police, que a su vez se hace eco de la información publicada en The Register, el hallazgo ha sido descubierto por un investigador que, bajo el nombre de usuario mr.d0x y tras preguntarse por posibles formas de atacar al navegador, encontró una potencial debilidad del mismo.

El investigador luego creó una serie de plantillas que posteriormente ha publicado en Github. Estas plantillas no solo permiten recrear una ventana emergente para iniciar sesión, sino también personalizar la URL de la misma y así complicar al usuario la tarea de comprobar su veracidad, como ha contado a Bleeping computer.

Ante estos casos, se recomienda a los usuarios asegurarse previamente de dónde están accediendo y a quién están entregando sus datos personales. Además, es posible habilitar la autenticación en dos pasos para crear una barrera extra de protección.

Cabe resaltar que hace poco Google informó que alcanzó un acuerdo definitivo para adquirir por 5.400 millones de dólares en efectivo la empresa de ciberseguridad Mandiant, en lo que supone la segunda mayor compra en la historia de la compañía. La adquisición de Mandiant complementará las fortalezas existentes de servicios como Google Cloud en seguridad, según explicó en un comunicado.

La adquisición de Mandiant ayudará a las empresas de todo el mundo a mantenerse protegidas en cada etapa del ciclo de la seguridad, incluyendo servicios de asesoramiento; detección e inteligencia de amenazas; herramientas de automatización y respuesta; pruebas y validación, y defensa administrada.

*Con información de Europa Press.