Ayer jueves, Google implementó soluciones para abordar una falla de seguridad de alta gravedad en su navegador Chrome que, según dijo, había sido explotada en la naturaleza.
Asignado el identificador CVE-2024-5274, la vulnerabilidad se relaciona con un error de confusión de tipos en el motor V8 JavaScript y WebAssembly. Fue informado por Clément Lecigne del Grupo de Análisis de Amenazas de Google y Brendon Tiszka de Chrome Security el 20 de mayo de 2024.Este es el cuarto Zero-Day que Google parchea desde principios de mes después de CVE-2024-4671, CVE-2024-4761, y CVE-2024-4947.
Las vulnerabilidades de confusión de tipos ocurren cuando un programa intenta acceder a un recurso con un tipo incompatible. Puede tener graves consecuencias, ya que permite a los actores de amenazas realizar accesos a la memoria fuera de los límites, provocar un bloqueo y ejecutar código arbitrario.Google no reveló detalles técnicos adicionales sobre la falla, pero reconoció que "es consciente de que existe un exploit para CVE-2024-5274 en la naturaleza". No está claro si la deficiencia es una omisión del parche para CVE-2024-4947, que también es un error de confusión de tipos en V8. Con este, Google ha resuelto un total de ocho días cero en Chrome desde principios de año.
- CVE-2024-0519: acceso a memoria fuera de límites en V8
- CVE-2024-2886: Uso después de la liberación en WebCodecs (demostrado en Pwn2Own 2024)
- CVE-2024-2887: Confusión de tipos en WebAssembly (demostrado en Pwn2Own 2024)
- CVE-2024-3159: acceso a memoria fuera de límites en V8 (demostrado en Pwn2Own 2024)
- CVE-2024-4671: Uso después de la liberación en elementos visuales
- CVE-2024-4761: escritura fuera de límites en V8
- CVE-2024-4947: Confusión de tipos en V8
Se recomienda a los usuarios actualizar a la versión 125.0.6422.112/.113 de Chrome para Windows y macOS, y a la versión 125.0.6422.112 para Linux para mitigar posibles amenazas.
También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.
Fuente: THN