(Otro) Zero Day explotado en Chrome

Google ha lanzado una actualización de seguridad para el navegador Chrome para
corregir la quinta vulnerabilidad Zero-Day explotada desde principios de año.

El problema de alta gravedad identificado como CVE-2024-4671 es una
vulnerabilidad de
“uso después de la liberación”
en el componente Visuals que maneja la representación y visualización de
contenido en el navegador. Google reveló que la vulnerabilidad, descubierta y
reportada por un investigador anónimo, fue aprovechada en ataques.

“Google es consciente de que existe un exploit para CVE-2024-4671”,
se lee en el aviso, sin proporcionar información adicional.

Las fallas de uso posterior a la liberación son fallas de seguridad que
ocurren cuando un programa continúa usando un puntero después de que se ha
liberado la memoria a la que apunta, luego de completar sus operaciones
legítimas en esa región. Debido a que la memoria liberada ahora podría
contener datos diferentes o ser utilizada por otro software o componentes,
acceder a ella podría provocar una fuga de datos, la ejecución de código o un
bloqueo.

Google solucionó el problema con el lanzamiento de 124.0.6367.201/.202 para
Mac/Windows y 124.0.6367.201 para Linux, y las actualizaciones se
implementarán en los próximos días/semanas.

Para los usuarios del canal “Extended Stable”, las correcciones estarán
disponibles en la versión 124.0.6367.201 para Mac y Windows, que también se
implementarán más adelante.

Esta última falla abordada en Google Chrome es la quinta este año, y otras
tres se descubrieron durante el concurso de hacking
Pwn2Own
de marzo de 2024 en Vancouver.

La lista completa de vulnerabilidades de día cero de Chrome solucionadas desde
principios de 2024 también incluye lo siguiente:

CVE-2024-0519: una debilidad de acceso a memoria fuera de límites de alta gravedad
dentro del motor JavaScript Chrome V8, que permite a atacantes remotos
explotar la corrupción del montón a través de una página HTML especialmente
diseñada, lo que conduce a un acceso no autorizado a información
confidencial.

CVE-2024-2887: una falla de confusión de tipos de alta gravedad en el estándar
WebAssembly (Wasm). Podría dar lugar a vulnerabilidades de ejecución remota
de código (RCE) aprovechando una página HTML diseñada.

CVE-2024-2886: una vulnerabilidad de uso después de la liberación en la API WebCodecs
utilizada por aplicaciones web para codificar y decodificar audio y video.
Los atacantes remotos lo aprovecharon para realizar lecturas y escrituras
arbitrarias a través de páginas HTML diseñadas, lo que llevó a la ejecución
remota de código.

CVE-2024-3159: una vulnerabilidad de alta gravedad causada por una lectura fuera de
límites en el motor JavaScript Chrome V8. Los atacantes remotos explotaron
esta falla utilizando páginas HTML especialmente diseñadas para acceder a
datos más allá del búfer de memoria asignado, lo que resultó en una
corrupción del montón que podría aprovecharse para extraer información
confidencial.

Fuente:
BC

Leave Your Comment