El lunes, Google envió soluciones de emergencia para abordar una nueva falla de día cero en el navegador web Chrome que ha sido explotada activamente en la naturaleza.
La vulnerabilidad de alta gravedad, identificada como CVE-2024-4761 , es un error de escritura fuera de límites que afecta al motor V8 JavaScript y WebAssembly. Fue informado de forma anónima el 9 de mayo de 2024.
Los errores de escritura fuera de los límites normalmente podrían ser aprovechados por actores maliciosos para corromper datos, inducir un bloqueo o ejecutar código arbitrario en hosts comprometidos.
«Google es consciente de que existe un exploit para CVE-2024-4761», dijo el gigante tecnológico.
Se han ocultado detalles adicionales sobre la naturaleza de los ataques para evitar que más actores de amenazas utilicen la falla como arma.
La divulgación se produce pocos días después de que la compañía parcheara CVE-2024-4671 , una vulnerabilidad de uso después de la liberación en el componente Visuals que también ha sido explotada en ataques del mundo real.
Con la última solución, Google ha abordado un total de seis días cero desde principios de año, tres de los cuales se demostraron en el concurso de piratería Pwn2Own en Vancouver en marzo.
- CVE-2024-0519 : acceso a memoria fuera de límites en V8 (explotado activamente)
- CVE-2024-2886 : Uso después de la liberación en WebCodecs
- CVE-2024-2887 : confusión de tipos en WebAssembly
- CVE-2024-3159 : acceso a memoria fuera de límites en V8
- CVE-2024-4671 : Uso después de la liberación en elementos visuales (explotado activamente)
Se recomienda a los usuarios actualizar a la versión 124.0.6367.207/.208 de Chrome para Windows y macOS, y a la versión 124.0.6367.207 para Linux para mitigar posibles amenazas.
También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.
Fuente y redacción: thehackernews.com