builderall


Google ha revelado que una falla de seguridad que fue reparada como parte de una actualización de software lanzada la semana pasada para su navegador Chrome ha sido explotada activamente.


La vulnerabilidad, identificada como CVE-2024-7965, ha sido descrita como un error de implementación inapropiado en el motor JavaScript V8 y WebAssembly.


"Una implementación inadecuada en V8 en Google Chrome anterior a 128.0.6613.84 permitió a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada", según una descripción del error en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST.


A un investigador de seguridad que utiliza el seudónimo en línea TheDog se le atribuye el descubrimiento y el informe de la falla el 30 de julio de 2024, lo que le valió una recompensa por el error de $11,000.


No se han publicado más detalles sobre la naturaleza de los ataques que explotan la falla ni sobre la identidad de los actores de amenazas que podrían estar utilizándola. Sin embargo, el gigante tecnológico reconoció que está al tanto de la existencia de un exploit para CVE-2024-7965.


También dijo, «en la explotación salvaje de CVE-2024-7965 [...] se informó después de este lanzamiento». Dicho esto, por el momento no está claro si el fallo se convirtió en un arma de día cero antes de su divulgación la semana pasada.


Google ha abordado hasta ahora nueve días cero en Chrome desde el inicio de 2024, incluyendo tres que se demostraron en Pwn2Own 2024:



Se recomienda encarecidamente a los usuarios que actualicen a la versión 128.0.6613.84/.85 de Chrome para Windows y macOS, y a la versión 128.0.6613.84 para Linux para mitigar posibles amenazas.


Fuente: thehackernews