Google ha revelado que una falla de seguridad que fue reparada como parte de una actualización de software lanzada la semana pasada para su navegador Chrome ha sido explotada activamente.

La vulnerabilidad, identificada como CVE-2024-7965 , ha sido descrita como un error de implementación inapropiado en el motor JavaScript V8 y WebAssembly.

«Una implementación inadecuada en V8 en Google Chrome anterior a 128.0.6613.84 permitió a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada», según una descripción del error en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST.

A un investigador de seguridad que utiliza el seudónimo en línea TheDog se le atribuye el descubrimiento y el informe de la falla el 30 de julio de 2024, lo que le valió una recompensa por el error de $11,000.

No se han publicado más detalles sobre la naturaleza de los ataques que explotan la falla ni sobre la identidad de los actores de amenazas que podrían estar utilizándola. Sin embargo, el gigante tecnológico reconoció que está al tanto de la existencia de un exploit para CVE-2024-7965.

También se afirma que «se informó de una explotación indiscriminada de CVE-2024-7965 […] después de este lanzamiento». Dicho esto, actualmente no está claro si la falla se utilizó como arma de día cero antes de su divulgación la semana pasada.

Hacker News se ha puesto en contacto con Google para obtener más información sobre la falla y actualizaremos la historia si recibimos respuesta.

Google ha abordado hasta ahora nueve días cero en Chrome desde principios de 2024, incluidos tres que se demostraron en Pwn2Own 2024.

  • CVE-2024-0519 : acceso a memoria fuera de límites en V8
  • CVE-2024-2886 : uso posterior a la liberación en WebCodecs (demostrado en Pwn2Own 2024)
  • CVE-2024-2887 : Confusión de tipos en WebAssembly (demostrado en Pwn2Own 2024)
  • CVE-2024-3159 : acceso a memoria fuera de límites en V8 (demostrado en Pwn2Own 2024)
  • CVE-2024-4671 : Uso posterior a la liberación en elementos visuales
  • CVE-2024-4761 : escritura fuera de límites en V8
  • CVE-2024-4947 : Confusión de tipos en V8
  • CVE-2024-5274 : Confusión de tipos en V8
  • CVE-2024-7971 : Confusión de tipos en V8

Se recomienda encarecidamente a los usuarios que actualicen a la versión 128.0.6613.84/.85 de Chrome para Windows y macOS, y a la versión 128.0.6613.84 para Linux para mitigar posibles amenazas.

Fuente y redacción: thehackernews.com

Compartir