Google ha implementado soluciones para abordar un conjunto de nueve problemas de seguridad en su navegador Chrome, incluido un nuevo día cero que ha sido explotado en la naturaleza.
Asignado el identificador CVE CVE-2024-4947 , la vulnerabilidad se relaciona con un error de confusión de tipos en el motor V8 JavaScript y WebAssembly. Así lo informaron los investigadores de Kaspersky Vasily Berdnikov y Boris Larin el 13 de mayo de 2024.
Las vulnerabilidades de confusión de tipos surgen cuando un programa intenta acceder a un recurso con un tipo incompatible. Puede tener graves impactos, ya que permite a los actores de amenazas realizar accesos a la memoria fuera de los límites, provocar un bloqueo y ejecutar código arbitrario.
El desarrollo marca el tercer día cero que Google parcha en una semana después de CVE-2024-4671 y CVE-2024-4761 .
Como suele ser el caso, no hay detalles adicionales disponibles sobre los ataques y se han ocultado para evitar una mayor explotación. «Google es consciente de que existe un exploit para CVE-2024-4947», dijo la compañía .
Con CVE-2024-4947, Google ha resuelto un total de siete días cero en Chrome desde principios de año.
- CVE-2024-0519 : acceso a memoria fuera de límites en V8
- CVE-2024-2886 : Uso después de la liberación en WebCodecs (demostrado en Pwn2Own 2024)
- CVE-2024-2887 : Confusión de tipos en WebAssembly (demostrado en Pwn2Own 2024)
- CVE-2024-3159 : acceso a memoria fuera de límites en V8 (demostrado en Pwn2Own 2024)
- CVE-2024-4671 : Uso después de la liberación en elementos visuales
- CVE-2024-4761 : escritura fuera de límites en V8
Se recomienda a los usuarios actualizar a la versión 125.0.6422.60/.61 de Chrome para Windows y macOS, y a la versión 125.0.6422.60 para Linux para mitigar posibles amenazas.
También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.
Fuente y redacción: thehackernews.com
