Ciberseguridad 360 | Actualización de emergencia de Chrome soluciona el sexto exploit zero-day en 2024

Google ha publicado actualizaciones de seguridad de emergencia para el navegador Chrome con el fin de solucionar una vulnerabilidad de d�a cero de alta gravedad etiquetada como explotada en ataques.

Esta correcci�n se produce s�lo tres d�as despu�s de que Google abordara otra vulnerabilidad de d�a cero en Chrome, CVE-2024-4671, causada por una debilidad de uso despu�s de la liberaci�n en el componente Visuals.

El �ltimo fallo se registra como CVE-2024-4761. Se trata de un problema de escritura fuera de los l�mites que afecta al motor JavaScript V8 de Chrome, responsable de ejecutar el c�digo JS en la aplicaci�n.

Los problemas de escritura fuera de los l�mites se producen cuando se permite a un programa escribir datos fuera de la matriz o el b�fer especificados, lo que puede dar lugar a un acceso no autorizado a los datos, la ejecuci�n de c�digo arbitrario o el bloqueo del programa.

�Google es consciente de que existe un exploit para CVE-2024-4761�, se lee en el aviso.

La compa��a ha corregido el fallo de seguridad con el lanzamiento de 124.0.6367.207/.208 para Mac/Windows y 124.0.6367.207 para Linux. Las actualizaciones llegar�n a todos los usuarios en los pr�ximos d�as y semanas.

Para los usuarios del canal �Extended Stable�, las correcciones estar�n disponibles en la versi�n 124.0.6367.207 para Mac y Windows.

Chrome se actualiza autom�ticamente cuando hay una actualizaci�n de seguridad disponible, pero los usuarios pueden confirmar que est�n ejecutando la �ltima versi�n accediendo a Configuraci�n > Acerca de Chrome, dejando que finalice la actualizaci�n y pulsando el bot�n �Reiniciar� para aplicarla.

Sexto d�a cero explotado en ataques

Esta �ltima vulnerabilidad de Google Chrome es el sexto fallo de d�a cero descubierto y corregido en el popular navegador web desde principios de a�o.

La empresa se�ala que un investigador an�nimo inform� del fallo el 9 de mayo de 2024, pero por el momento no se han revelado m�s detalles.

�El acceso a los detalles y enlaces del fallo puede mantenerse restringido hasta que la mayor�a de los usuarios se actualicen con una soluci�n. Tambi�n mantendremos restricciones si el fallo existe en una biblioteca de terceros de la que dependen otros proyectos de forma similar, pero que a�n no se ha corregido", ha declarado Google.

Los fallos de d�a cero de Chrome corregidos en 2024 hasta la fecha son:

CVE-2024-0519: Una debilidad de acceso a memoria fuera de l�mites de alta gravedad en el motor JavaScript V8 de Chrome, que permite a atacantes remotos explotar la corrupci�n de heap a trav�s de una p�gina HTML especialmente dise�ada, lo que lleva al acceso no autorizado a informaci�n confidencial.
CVE-2024-2887: Un fallo de confusi�n de tipo de alta gravedad en el est�ndar WebAssembly (Wasm). Podr�a dar lugar a exploits de ejecuci�n remota de c�digo (RCE) aprovechando una p�gina HTML manipulada.
CVE-2024-2886: Una vulnerabilidad �use-after-free� en la API WebCodecs utilizada por las aplicaciones web para codificar y descodificar audio y v�deo. Los atacantes remotos la explotaban para realizar lecturas y escrituras arbitrarias a trav�s de p�ginas HTML manipuladas, lo que llevaba a la ejecuci�n remota de c�digo.
CVE-2024-3159: Una vulnerabilidad de alta gravedad causada por una lectura fuera de los l�mites en el motor JavaScript V8 de Chrome. Los atacantes remotos explotaban este fallo utilizando p�ginas HTML especialmente dise�adas para acceder a datos m�s all� del b�fer de memoria asignado, lo que provocaba una corrupci�n de la pila que pod�a aprovecharse para extraer informaci�n confidencial.
CVE-2024-4671: Un fallo de uso despu�s de la liberaci�n de alta gravedad en el componente Visuals que gestiona la representaci�n y visualizaci�n de contenido en el navegador.

Fuente: bleepingcomputer