9VSA-00075-001 CSIRT comparte actualizaciones para Google Chrome

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT, comparte la información entregada por Google, referente a vulnerabilidades en Google Chrome, junto a sus respectivas formas de mitigarlas.

 

Vulnerabilidades

CVE-2019-13699
CVE-2019-13700
CVE-2019-13701
CVE-2019-13702
CVE-2019-13703
CVE-2019-13704
CVE-2019-13705
CVE-2019-13706
CVE-2019-13707
CVE-2019-13708
CVE-2019-13709
CVE-2019-13710
CVE-2019-13711
CVE-2019-15903
CVE-2019-13713
CVE-2019-13714
CVE-2019-13715
CVE-2019-13716
CVE-2019-13718

 

Impacto

  • Uso de memoria luego de ser liberada en media
  • Desbordamiento del buffer en Blink
  • Falsificación de URL en navegación
  • Escalación de privilegios en el instalador
  • Suplantación de la barra de URL
  • Bypass CSP
  • Bypass en permiso de extensión
  • Lectura fuera de límites en PDFium
  • Exposición de información en almacenamiento de archivos
  • Suplantación en la autenticación HTTP
  • Bypass en la protección de descarga de archivos
  • Exposición de información de contexto cruzado
  • Desbordamiento de memoria en expat
  • Exposición de información de origen cruzado
  • Inyección CSS
  • Suplantación de la barra de direcciones
  • Error de estado en service worker
  • Suplantación IDN

 

Productos Afectados

Todas las versiones anteriores a Google Chrome 78.0.3904.70.

 

Mitigación

Actualizar a la versión 78.0.3904.70.

 

Enlace

 

  • https://chromereleases.googleblog.com/2019/10/stable-channel-update-for-desktop_22.html
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13699
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13700
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13701
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13702
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13703
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13704
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13705
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13706
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13707
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13708
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13709
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13710
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13711
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13713
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13714
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13715
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13716
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-13718
  • http://cve.mitre.org/cgi-bin/cvename.cgi?name=2019-15903

 

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA-00075-001