Google implementó soluciones para abordar una falla de seguridad de alta gravedad en su navegador Chrome que, según dijo, había sido explotada en la naturaleza.Asignado el identificador CVE-2024-5274, la vulnerabilidad se relaciona con un error de confusión de tipos en el motor V8 JavaScript y WebAssembly. Fue informado por Clément Lecigne del Grupo de Análisis de Amenazas de Google y Brendon Tiszka de Chrome Security el 20 de mayo de 2024.
Este es el cuarto Zero-Day que Google parchea desde principios de mes después de CVE-2024-4671, CVE-2024-4761, y CVE-2024-4947.Las vulnerabilidades de confusión de tipos ocurren cuando un programa intenta acceder a un recurso con un tipo incompatible. Puede tener graves consecuencias, ya que permite a los actores de amenazas realizar accesos a la memoria fuera de los límites, provocar un bloqueo y ejecutar código arbitrario.
Google no reveló detalles técnicos adicionales sobre la falla, pero reconoció que «es consciente de que existe un exploit para CVE-2024-5274 en la naturaleza». No está claro si la deficiencia es una omisión del parche para CVE-2024-4947, que también es un error de confusión de tipos en V8. Con este, Google ha resuelto un total de ocho días cero en Chrome desde principios de año.
- CVE-2024-0519: acceso a memoria fuera de límites en V8
- CVE-2024-2886: Uso después de la liberación en WebCodecs (demostrado en Pwn2Own 2024)
- CVE-2024-2887: Confusión de tipos en WebAssembly (demostrado en Pwn2Own 2024)
- CVE-2024-3159: acceso a memoria fuera de límites en V8 (demostrado en Pwn2Own 2024)
- CVE-2024-4671: Uso después de la liberación en elementos visuales
- CVE-2024-4761: escritura fuera de límites en V8
- CVE-2024-4947: Confusión de tipos en V8
Se recomienda a los usuarios actualizar a la versión 125.0.6422.112/.113 de Chrome para Windows y macOS, y a la versión 125.0.6422.112 para Linux para mitigar posibles amenazas.
También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.
Fuente y redacción: segu-info.com.ar
