Google corrige el primer zero-day de Chrome explotado activamente en este 2024

Iniciado por AXCESS, Enero 17, 2024, 02:58:10 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 17, 2024, 02:58:10 PM Ultima modificación: Enero 17, 2024, 03:00:05 PM por AXCESS
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Google ha lanzado actualizaciones de seguridad para corregir la primera vulnerabilidad de día cero de Chrome explotada desde principios de año.

"Google está al tanto de los informes de que existe un exploit para CVE-2024-0519", dijo la compañía en un aviso de seguridad publicado el martes.

La compañía solucionó el día cero para los usuarios del canal de escritorio estable, con versiones parcheadas implementándose en todo el mundo para usuarios de Windows (120.0.6099.224/225), Mac (120.0.6099.234) y Linux (120.0.6099.224) en menos de una semana. después de ser reportado a Google.

Aunque Google dice que la actualización de seguridad podría tardar días o semanas en llegar a todos los usuarios afectados, ya esta disponible de inmediato

Aquellos que prefieran no actualizar su navegador web manualmente pueden confiar en Chrome para buscar automáticamente nuevas actualizaciones e instalarlas después del próximo lanzamiento.

La vulnerabilidad de día cero de alta gravedad (CVE-2024-0519) se debe a una debilidad de acceso a memoria fuera de límites de alta gravedad en el motor JavaScript Chrome V8, que los atacantes pueden aprovechar para obtener acceso a datos más allá del búfer de memoria, proporcionándoles acceso a información confidencial o provocando un bloqueo.

"El centinela esperado podría no estar ubicado en la memoria fuera de los límites, lo que provocaría una lectura excesiva de datos, lo que provocaría un error de segmentación o un desbordamiento del búfer", explica MITRE. "El producto puede modificar un índice o realizar aritmética de punteros que hace referencia a una ubicación de memoria que está fuera de los límites del búfer. Una operación de lectura posterior produce resultados indefinidos o inesperados".

Además del acceso no autorizado a la memoria fuera de los límites, CVE-2024-0519 también podría aprovecharse para eludir mecanismos de protección como ASLR y facilitar la ejecución del código a través de otra debilidad.

Si bien Google conoce los exploits de día cero CVE-2024-0519 utilizados en ataques, la compañía aún tiene que compartir más detalles sobre estos incidentes.

"El acceso a los detalles del error y a los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución", dijo Google. "También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se ha solucionado".

Hoy, Google también parchó las fallas de escritura fuera de límites (CVE-2024-0517) y confusión de tipos (CVE-2024-0518) de V8, lo que permite la ejecución de código arbitrario en dispositivos comprometidos.

El año pasado, Google solucionó ocho errores de día cero de Chrome explotados en ataques rastreados como CVE-2023-7024, CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023- 4762, CVE-2023-2136 y CVE-2023-2033.

Algunos de ellos, como CVE-2023-4762, fueron etiquetados como días cero utilizados para implementar software espía en dispositivos vulnerables pertenecientes a usuarios de alto riesgo, incluidos periodistas, políticos de la oposición y disidentes, varias semanas después de que la compañía lanzara parches.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario