Google reparó este fallo en la versión 85 beta, la cual estará disponible este 25 de agosto como la versión 85 estable del navegador. Se trata de una vulnerabilidad (CVE-2020-6492) de severidad alta del tipo use-after-free en el componente WebGL (Web Graphics Library) de Google Chrome que podría ser utilizada por un atacante para ejecutar código arbitrario.
El componente WebGL es una API en Javascript utilizado para crear gráficos 3D en Google Chrome y otros navegadores sin la necesidad de utilizar plugins. La vulnerabilidad, presente en la versión 81.0.4044.138 de Chrome (estable), así como en la 84.0.4136.5 (Dev) y la 84.0.4143.7 (Canary), fue descubierta por el equipo de Cisco Talos en mayo y se produce cuando este componente hace un manejo equivocado de objetos en memoria. En cuanto a su severidad, la misma recibió un puntaje de 8.3 en una escala sobre 10.
Según explican los investigadores responsables del hallazgo, esta vulnerabilidad está presente en ANGLE, “una capa compatible entre OpenGL y Direct3D utilizada en Windows tanto por Google Chrome como por otros proyectos.
Este fallo sale a la luz luego del descubrimiento a principios de agosto de una vulnerabilidad en navegadores basados en Chromium que, según explica ThreatPost, permite a un atacante evadir la protección proporcionada por Content Security Policy (CSP) en un sitio web para robar datos a los visitantes y ejecutar código.
