Google ha lanzado una actualización de seguridad para el navegador Chrome para corregir la quinta vulnerabilidad Zero-Day explotada desde principios de año.
El problema de alta gravedad identificado como CVE-2024-4671 es una vulnerabilidad de "uso después de la liberación" en el componente Visuals que maneja la representación y visualización de contenido en el navegador. Google reveló que la vulnerabilidad, descubierta y reportada por un investigador anónimo, fue aprovechada en ataques.
"Google es consciente de que existe un exploit para CVE-2024-4671", se lee en el aviso, sin proporcionar información adicional.
Las fallas de uso posterior a la liberación son fallas de seguridad que ocurren cuando un programa continúa usando un puntero después de que se ha liberado la memoria a la que apunta, luego de completar sus operaciones legítimas en esa región. Debido a que la memoria liberada ahora podría contener datos diferentes o ser utilizada por otro software o componentes, acceder a ella podría provocar una fuga de datos, la ejecución de código o un bloqueo.
Google solucionó el problema con el lanzamiento de 124.0.6367.201/.202 para Mac/Windows y 124.0.6367.201 para Linux, y las actualizaciones se implementarán en los próximos días/semanas.
Para los usuarios del canal "Extended Stable", las correcciones estarán disponibles en la versión 124.0.6367.201 para Mac y Windows, que también se implementarán más adelante.
Esta última falla abordada en Google Chrome es la quinta este año, y otras tres se descubrieron durante el concurso de hacking Pwn2Own de marzo de 2024 en Vancouver.
La lista completa de vulnerabilidades de día cero de Chrome solucionadas desde principios de 2024 también incluye lo siguiente:
- CVE-2024-0519: una debilidad de acceso a memoria fuera de límites de alta gravedad dentro del motor JavaScript Chrome V8, que permite a atacantes remotos explotar la corrupción del montón a través de una página HTML especialmente diseñada, lo que conduce a un acceso no autorizado a información confidencial.
- CVE-2024-2887: una falla de confusión de tipos de alta gravedad en el estándar WebAssembly (Wasm). Podría dar lugar a vulnerabilidades de ejecución remota de código (RCE) aprovechando una página HTML diseñada.
- CVE-2024-2886: una vulnerabilidad de uso después de la liberación en la API WebCodecs utilizada por aplicaciones web para codificar y decodificar audio y video. Los atacantes remotos lo aprovecharon para realizar lecturas y escrituras arbitrarias a través de páginas HTML diseñadas, lo que llevó a la ejecución remota de código.
- CVE-2024-3159: una vulnerabilidad de alta gravedad causada por una lectura fuera de límites en el motor JavaScript Chrome V8. Los atacantes remotos explotaron esta falla utilizando páginas HTML especialmente diseñadas para acceder a datos más allá del búfer de memoria asignado, lo que resultó en una corrupción del montón que podría aprovecharse para extraer información confidencial.
Fuente: BC