Google lanzó una nueva actualización de seguridad de emergencia de Chrome para parchear una vulnerabilidad Zero-Day etiquetada como explotada en ataques.
"Google es consciente de que existe un exploit para CVE-2024-7971", dijo la compañía en un aviso publicado el miércoles.
Esta vulnerabilidad de día cero de alta gravedad es causada por una debilidad de confusión de tipos en el motor JavaScript V8 de Chrome. Los investigadores de seguridad del Centro de inteligencia de amenazas de Microsoft (MSTIC) y del Centro de respuesta de seguridad de Microsoft (MSRC) lo informaron el lunes.
Aunque estas fallas de seguridad comúnmente pueden permitir a los atacantes provocar fallas en el navegador después de que los datos asignados a la memoria se interpretan como un tipo diferente, también pueden explotarlas para la ejecución de código arbitrario en dispositivos específicos que ejecutan navegadores sin parches.
Google ha solucionado el problema con el lanzamiento de 128.0.6613.84/85 para Windows/macOS y 128.0.6613.84 (Linux), versiones que se implementarán para todos los usuarios del canal de escritorio estable durante las próximas semanas.
Aunque Google confirmó que la vulnerabilidad CVE-2024-7971 se utilizó en ataques, la compañía aún no ha compartido información adicional sobre la explotación en estado salvaje. "El acceso a los detalles del error y a los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución", dijo Google. "También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se ha solucionado".
CVE-2024-7971 es el noveno Zero-Day en Chrome parcheado por Google en 2024, ya sea explotado en la naturaleza o en el concurso de hacking Pwn2Own:
- CVE-2024-0519 - Out-of-bounds memory access in V8
- CVE-2024-2886 - Use-after-free in WebCodecs (demonstrated at Pwn2Own 2024)
- CVE-2024-2887 - Type confusion in WebAssembly (demonstrated at Pwn2Own 2024)
- CVE-2024-3159 - Out-of-bounds memory access in V8 (demonstrated at Pwn2Own 2024)
- CVE-2024-4671 - Use-after-free in Visuals
- CVE-2024-4761 - Out-of-bounds write in V8
- CVE-2024-494 - Type confusion in V8
- CVE-2024-5274 - Type confusion in V8
Fuente: BC