Boletín informativo Número 1

Abril 4 de 2022

Vulnerabilidad Critica en Navegadores Web

Google Chrome, Edge y Brave

Introducción

Figura 1. Navegadores webs comprometidos

 

Adaptado de: https://www.freepik.es/vector-premium/ilustracion-ladron-punto-entrar-seguridad-telefono-celular_23127304.htm#query=cibersecurity%20vector&position=1&from_view=search

Según el Instituto Nacional de Ciberseguridad de España, una vulnerabilidad es un “es una debilidad o fallo en un sistema de información que pone en riesgo la seguridad de la información permitiendo que un atacante pueda comprometer la integridad, disponibilidad o confidencialidad de esta[1]. En este sentido, un sistema de información para el caso de Google Chrome, Edge o Brave, es un sistema que permiten a los usuarios poder navegar a través de internet, a través del uso de motores de búsqueda con el fin de obtener información organizada. Sin embargo, es preciso tener en cuenta que estos navegadores realizan otras acciones diferentes a la de facilitar la búsqueda de información. La recopilación de datos personales u organizaciones son algunas. Esto se puede evidenciar en el momento en el que al realizar de forma posterior una consulta, el navegador recomienda o sugiere resultados similares[2], debido a que su información ha sido almacenada en el historial de navegación o en las cookies que son archivos de información que pueden ser intercambiados entre páginas web de forma trasparente para el usuario. 

A partir de lo anterior, es preciso sanear una vulnerabilidad identificada en navegadores web: Google Chrome, Edge y Brave, detectada en el mes de febrero de 2022 en las versiones anteriores a la 98.0.1108.55, la cual tiene como propósito afectar la integridad de los datos a partir de la extracción de contraseñas de correos institucionales, personales, correos de notificación doble factor y la ejecución de código remoto.

Alerta de Seguridad 001 - CVE-2022-0609[3]

¿Como remediar esta vulnerabilidad?: Actualizando a la última versión lanzada por cada uno de los navegadores

¿Cómo saber que versión tengo instalada?

Desarrollo

En el navegador Google Chrome: Ir al navegador, parte superior derecha, dar clic en los tres puntos y seleccionar la opción configuración

Figura 2. Ubicación de la configuración del navegador Chrome

 

Figura 3. Identificación de la actualización del navegador

 

Al dar clic en configuración, ir a información de Chrome, en la figura 3, se evidencia resaltado con color verde la versión en la que se encuentra el navegador.

Fuente: Navegador Google Chrome

Cómo obtener una actualización de Chrome[4] (Extraído del sitio del navegador)

Normalmente, las actualizaciones se realizan en segundo plano cuando cierras y vuelves a abrir el navegador de tu computadora. Pero si no cerraste el navegador por un tiempo, es posible que veas una actualización pendiente:

  • 1.       En la computadora, abre Chrome.
  • 2.       En la esquina superior derecha, mira en Más Más.
  • 3.       Si hay una actualización pendiente, el ícono tendrá otro color:
  • Verde: Se publicó una actualización hace menos de 2 días.
  • Naranja: Se publicó una actualización hace unos 4 días.
  • Rojo: Se publicó una actualización al menos hace una semana.

Para actualizar Google Chrome:

  • 1.       En su computadora, abre Chrome.
  • 2.       En la esquina superior derecha, haz clic en Más Más.
  • 3.       Haz clic en Ayuda y luego Acerca de Google Chrome.
  • 4.       Haz clic en Actualizar Google Chrome.
  • 5.       Importante: Si no encuentras este botón, significa que estás usando la versión más reciente.
  • 6.       Haz clic en Reiniciar.

En el Navegador Edge: Ir al navegador, parte superior derecha, dar clic en los tres puntos y seleccionar la opción configuración

Figura 4. Ubicación de la configuración del navegador Edge

 

Figura 5. Ubicación de la actualización en el navegador Edge

 

Al dar clic en configuración, la figura 5, evidencia con color verde la versión en la que se encuentra el navegador

Fuente: Navegador Edge

Cómo obtener una actualización de Microsoft Edge[5] (Extraído del sitio del navegador)

De forma predeterminada, Microsoft Edge se actualiza automáticamente al reiniciar el explorador. Sin embargo, hay dos situaciones en las que es posible que deba descargar manualmente una actualización:

  • Las conexiones medidas, ya sean móviles, wi-fi o Ethernet, tienen límites de datos asociados con ellas. 
  • Si compró recientemente el dispositivo en China y tiene capacidades de telefonía móvil, es posible que las actualizaciones se apaguen de forma predeterminada.

Si alguna de las categorías anteriores se aplica a usted, use los procedimientos siguientes para actualizar el explorador:

Actualizar una vez: En el explorador, vaya a Configuración y más > ayuda y comentarios > Acerca de Microsoft Edge (edge://settings/help).  

  • Si la página Acerca de muestra Microsoft Edge está actualizado., no necesita hacer nada.
  • Si la página Acerca de muestra Una actualización está disponible. Seleccione Descargar e instalar para continuar. selecciona Descargar e instalar. Microsoft Edge descargará la actualización y la aplicará la próxima vez que reinicie Microsoft Edge. 
  • Si la página Acerca de muestra Para finalizar la actualización reinicie Microsoft Edge., selecciona Reiniciar. La actualización ya está descargada y todo lo que necesita hacer es reiniciar el explorador para que se aplique.

En el Navegador brave Brave: Ir al navegador, parte superior derecha, dar clic en los tres puntos y seleccionar la opción configuración

Figura 6. Ubicación de la configuración del navegador Brave

 

Figura 7. Ubicación de la configuración del navegador Chrome

 

 

Al dar clic en configuración, la figura 7, evidencia con color verde información relacionada con el navegador respecto a su versión. Sin embargo, al dar clic en este en la parte central del panel se podrá observar la versión relacionada con Chromium

Fuente: Navegador Brave

El navegador Brave se actualiza de forma automática, dado el caso de no presentarse actualizado tal como lo muestra la figura 7, proceda a cerrar y abrir nuevamente el navegador.

 

Canales de comunicación

 

El CIP CSIRT Académico UNAD, actualmente cuenta con los siguientes canales de comunicación:

  • Correo: Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.
  • Twitter: @csirtunad
  • Página webhttps://csirt.unad.edu.co

 

 
     

Recursos Bibliográficos Consultados

[1] Amenaza vs Vulnerabilidad, ¿sabes en qué se diferencian? [en línea].  Instituto Nacional de Ciberseguridad de España [fecha de consulta: 03/03/2022] Disponible en: https://www.incibe.es/protege-tu-empresa/blog/amenaza-vs-vulnerabilidad-sabes-se-diferencian

[2] ¿Sabías que los navegadores web almacenan más información de la que creemos?  [en línea].  Oficina de Seguridad del Internauta. [fecha de consulta: 03/03/2022] Disponible en:  https://www.osi.es/es/actualidad/blog/2019/11/08/sabias-que-los-navegadores-web-almacenan-mas-informacion-de-la-que

[3] CVE. [en línea].  Common Vulnerabilities and Exposures. [fecha de consulta: 03/03/2022] Disponible en:  https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0609

[4] Cómo actualizar Google Chrome. [en línea]. Ayuda de Google Chrome. [fecha de consulta: 03/03/2022] Disponible en:

https://support.google.com/chrome/answer/95414?hl=es-419&co=GENIE.Platform%3DDesktop

[5] Configuración de actualización de Microsoft Edge [en línea].  Soporte Micrisoft: 03/03/2022] Disponible en:  https://support.microsoft.com/es-es/topic/configuraci%C3%B3n-de-actualizaci%C3%B3n-de-microsoft-edge-af8aaca2-1b69-4870-94fe-18822dbb7ef1