9VSA-00059-001 CSIRT comparte actualizaciones de Google ChromeOS
CSIRT comparte la información de Google referente a una vulnerabilidad que afecta a ChromeOS y cómo mitigarla
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información obtenida del sitio web oficial del sistema operativo de Google, referente a una vulnerabilidad que afecta a ChromeOS y cómo mitigarla.
Vulnerabilidad
- CVE-2019-16508
Impacto
El driver ‘Imagination Technologies’ para el SO permite a los atacantes remotos desencadenar un desbordamiento de integers y obtener privilegios a través de una aplicación maliciosa. Esto ocurre debido al acceso intencional del proceso de GPU a /dev/dri/card1 y al PowerVR ioctl handler, demostrado con PVRSRVBridgeSyncPrimOpCreate. Esta vulnerabilidad permitiría generar una denegación de servicios y, aún no confirmado, podría lograr la ejecución de código arbitrario.
Productos Afectados
- Google Chrome OS R74-11895.B y versiones anteriores.
- Google Chrome OS R75-12105.B y versiones anteriores.
- Google Chrome OS R76-12208.0.0 y versiones anteriores
Mitigación
Se debe actualizar a la versión más reciente del SO, a través de las herramientas propias del SO para actualizaciones.
Enlaces
- https://bugs.chromium.org/p/chromium/issues/detail?id=960106
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-16508
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA-00059-001