Up next in 10
¡Chromiun, Chrome y Brave Vulnerables!
3 views
Jul 27, 2025
Mejor actualiza cualquier navegador basado en Chromium que tengas. Entra al canal de Telegram de Hixec: https://t.me/hixec ✔ Comunidad: https://discord.gg/hixec-693545213758537849 📩BUSINESS [email protected] [email protected] 📱 REDES SOCIALES 🌐Martin Instagram: https://instagram.com/emehix TikTok: https://www.tiktok.com/@emehix 🥇Hixec TikTok: https://www.tiktok.com/@hixec_com Instagram: https://instagram.com/hixec_com Linkedin: https://www.linkedin.com/company/hixec/
View Video Transcript
0:00
Recientemente, la SIS añadió una nueva
0:01
vulnerabilidad a su catálogo y esta
0:03
vulnerabilidad afecta a la mayoría de
0:04
navegadores basados en Chromium,
0:06
incluyendo por ejemplo el navegador
0:07
Brail. Así que vamos a comentarla.
0:10
Muy bien, como tal estamos hablando de
0:12
una vulnerabilidad catalogada con 8.8,
0:14
es decir, es alta, obviamente con CBSS
0:16
de versión 3.1 y que según se comunica
0:18
estado explotándose activamente, donde
0:20
la cosa está así. Un cuberdelincuente
0:21
podría crear tranquilamente una página
0:23
HTML que use operaciones gráficas
0:24
específicas como por ejemplo webglass o
0:26
entre otros. Y como tal, la cosa aquí es
0:28
que se incorporan entradas maliciosas
0:29
para provocar un fallo de validación
0:31
como tal dentro de angle. Y tú me dirás,
0:33
"¿Este quién es?" Pues creo que da el
0:34
apellido de alguien que era peleador,
0:35
pero en este contexto esta es una
0:37
biblioteca usada por Chromium para
0:38
traducir instrucciones gráficas a otras
0:40
APIs. Por ejemplo, traducir
0:41
instrucciones de Open GL a API, como
0:43
digamos Direct 3D, que este posiblemente
0:45
lo conozcas, pero bueno, con el sitio
0:46
publicado, el ciberdelincuente tendría
0:48
que hacer que el usuario visitase ese
0:49
sitio. Considero muy complicado hoy en
0:51
día. Y al visitar el sitio, el navegador
0:52
procesa la entrada para acto seguido que
0:54
se produzca una fuga de la sandbox. Y tú
0:55
me esto, ¿qué es? Pues como tal esta
0:57
vulnerabilidad se basa en esto.
0:58
Generalmente los navegadores cuentan con
1:00
algo llamado aislamiento o sample, que
1:01
esto básicamente es una protección
1:02
adicional que tiene cada navegador dicho
1:04
de otra forma que aisla procesos
1:05
peligrosos como pueden ser por ejemplo
1:07
la renderización de sitios web o
1:09
meramente sitios web que ejecutan
1:10
JavaScript. Dicho de otra forma, este
1:11
aislamiento evita que este código web
1:13
tenga acceso directo al sistema
1:14
operativo, por lo que divide el
1:15
navegador en varios procesos separados.
1:16
Esto te digo es muy antiguo, no es algo
1:18
nuevo. Y esta vulnerabilidad, como te
1:20
comenté antes, lo que permitiría es
1:21
saltarse este aislamiento, provocando
1:23
que en este caso el código melcioso no
1:25
se quede encapsulado, por así decirlo,
1:27
dentro de la sbox asignada para ese
1:28
sitio web, sino que perfectamente puede
1:30
saltar el sistema operativo. Y
1:31
potencialmente este fallo de seguridad
1:33
podría hacer que los usuarios se
1:34
infectasen con solo visitar una página,
1:35
es decir, no tienen que descargar nada,
1:37
no tienen que dar clic en nada, no
1:38
tienen que mirar nada, no tienen que
1:39
hacer absolutamente nada más que acceder
1:41
al sitio web, algo que perfectamente es
1:42
muy factible de conseguir para un
1:44
ciberdelincuente. Pero bueno,
1:45
continuamos. Cuando el usero accede,
1:46
evidentemente Angle tiene un boot, que
1:48
es el centro de todo este fallo, que no
1:49
valida bien esos datos y permite
1:50
ejecutar código dentro del proceso GPU.
1:52
Y el proceso GPU no está completamente
1:54
aislado como otro y por consecuencia
1:55
tiene más privilegios y canales de
1:57
comunicación interno. Y tú me dirás,
1:58
"¿Esto en español qué significa?" Pero
1:59
básicamente dijo que el ciberdelincuente
2:00
usa esa posición privilegiada para salir
2:02
de la Sambo, acceder al sistema
2:03
operativo y comprometer el equipo.
2:05
Ahora, ¿qué puedes hacer para
2:05
protegerte? Pues lo de siempre, viejo.
2:07
Actualizar el navegador basado en
2:08
Chroming que estés utilizando. Y
2:09
deberían hacerlo ya principalmente si
2:10
eres una persona que anda por ahí
2:11
navegando en lo que sea, porque como te
2:12
digo, hay casos como este donde
2:14
solamente por visitar una web un
2:15
ciberdelincuente puede explotar una
2:16
vulnerabilidad y afectarte. Así que tú
2:18
ve y protégete y cuando lo hagas, acto
2:20
seguido te bañas. Yeah.