Google publicó el jueves actualizaciones de seguridad para corregir un fallo zero-day en Chrome que, según afirma, ha sido explotado activamente en la red.
Rastreada como CVE-2024-4671, la vulnerabilidad de alta gravedad se ha descrito como un caso de uso después de la liberación en el componente Visuals. Fue notificada por un investigador anónimo el 7 de mayo de 2024.
Los errores de uso después de la liberación, que surgen cuando un programa hace referencia a una ubicación de memoria después de que se haya desasignado, pueden tener diversas consecuencias, desde un bloqueo hasta la ejecución de código arbitrario.
"Google es consciente de que existe un exploit para CVE-2024-4671 en la naturaleza", dijo la compañía en un escueto aviso sin revelar detalles adicionales de cómo el fallo está siendo utilizado en ataques del mundo real o la identidad de los actores de la amenaza detrás de ellos.
Con esta última novedad, Google ha resuelto dos casos de exploits zero-days en Chrome desde principios de año.
A principios de enero, el gigante tecnológico parcheó un problema de acceso a memoria fuera de los límites en el motor V8 JavaScript y WebAssembly (CVE-2024-0519, puntuación CVSS: 8,8) que podía provocar un fallo.
Google también solucionó otros tres zero-days revelados durante el concurso de hacking Pwn2Own celebrado en Vancouver en marzo:
- CVE-2024-2886 - Use-after-free en WebCodecs
- CVE-2024-2887 - Confusión de tipos en WebAssembly
- CVE-2024-3159 - Acceso a memoria fuera de los límites en V8
Se recomienda a los usuarios actualizar a la versión 124.0.6367.201/.202 de Chrome para Windows y macOS, y a la versión 124.0.6367.201 para Linux para mitigar las posibles amenazas.
También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones a medida que estén disponibles.
Fuente: thehackernews