(https://i.postimg.cc/HLmxdsL6/Google.png) (https://postimg.cc/75BDN40z)
Hoy, Google lanzó una nueva actualización de seguridad de emergencia de Chrome para reparar una vulnerabilidad de día cero etiquetada como ataques explotados.
"Google es consciente de que existe un exploit para CVE-2024-7971", dijo la compañía en un aviso publicado el miércoles.
Esta vulnerabilidad de día cero de alta gravedad es causada por una debilidad de confusión de tipos en el motor de JavaScript V8 de Chrome. Los investigadores de seguridad del Centro de Inteligencia de Amenazas de Microsoft (MSTIC) y el Centro de Respuesta de Seguridad de Microsoft (MSRC) lo informaron el lunes.
Aunque estos fallos de seguridad pueden permitir a los atacantes provocar fallos en el navegador después de que los datos asignados a la memoria se interpreten como de un tipo diferente, también pueden explotarlos para ejecutar código arbitrario en dispositivos específicos que ejecuten navegadores sin parches.
Google ha solucionado el problema de día cero con el lanzamiento de 128.0.6613.84/.85 para Windows/macOS y 128.0.6613.84 (Linux), versiones que se implementarán para todos los usuarios en el canal Stable Desktop en las próximas semanas.
Aunque Chrome se actualiza automáticamente cuando hay parches de seguridad disponibles, los usuarios también pueden acelerar el proceso yendo al menú de Chrome > Ayuda > Acerca de Google Chrome, dejando que la actualización finalice y haciendo clic en el botón "Relanzar" para instalarla.
La actualización de hoy estaba disponible de inmediato.
Aunque Google confirmó que la vulnerabilidad CVE-2024-7971 se utilizó en los ataques, la empresa aún no ha compartido información adicional sobre la explotación en la naturaleza.
"El acceso a los detalles y enlaces de errores puede mantenerse restringido hasta que la mayoría de los usuarios reciban una actualización con una solución", dijo Google.
"También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no han solucionado".
CVE-2024-7971 es el noveno día cero de Chrome explotado activamente y parcheado por Google en 2024. La lista completa de días cero solucionados este año incluye:
CVE-2024-0519: una debilidad de acceso a memoria fuera de límites de alta gravedad dentro del motor JavaScript de Chrome V8, que permite a los atacantes remotos explotar la corrupción del montón a través de una página HTML especialmente diseñada, lo que lleva al acceso no autorizado a información confidencial.
CVE-2024-2887: Un fallo de confusión de tipos de alta gravedad en el estándar WebAssembly (Wasm). Podría dar lugar a ataques de ejecución de código remoto (RCE) aprovechando una página HTML diseñada.
CVE-2024-2886: Una vulnerabilidad de uso posterior a la liberación en la API WebCodecs utilizada por las aplicaciones web para codificar y decodificar audio y vídeo. Los atacantes remotos la explotaron para realizar lecturas y escrituras arbitrarias a través de páginas HTML diseñadas, lo que provocó la ejecución remota de código.
CVE-2024-3159: Una vulnerabilidad de alta gravedad causada por una lectura fuera de límites en el motor JavaScript de Chrome V8. Los atacantes remotos explotaron este fallo utilizando páginas HTML especialmente diseñadas para acceder a datos más allá del búfer de memoria asignado, lo que resultó en una corrupción del montón que podría aprovecharse para extraer información confidencial.
CVE-2024-4671: Un fallo de uso posterior a la liberación de alta gravedad en el componente Visuals que maneja la representación y visualización de contenido en el navegador.
CVE-2024-4761: Un problema de escritura fuera de límites en el motor de JavaScript V8 de Chrome, que es responsable de ejecutar el código JS en la aplicación.
CVE-2024-4947: Debilidad de confusión de tipos en el motor de JavaScript V8 de Chrome que permite la ejecución de código arbitrario en el dispositivo de destino.
CVE-2024-5274: Un motor de JavaScript V8 de Chrome que genera confusión de tipos que puede provocar fallas, corrupción de datos o ejecución de código arbitrario.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/google-fixes-tenth-actively-exploited-chrome-zero-day-in-2024/