Please enter CoinGecko Free Api Key to get this plugin works.

Bl0ckch41nnews(Otro) Zero Day explotado en Chrome

35


Google ha lanzado una actualización de seguridad para el navegador Chrome para
corregir la quinta vulnerabilidad Zero-Day explotada desde principios de año.

El problema de alta gravedad identificado como CVE-2024-4671 es una
vulnerabilidad de
«uso después de la liberación»
en el componente Visuals que maneja la representación y visualización de
contenido en el navegador. Google reveló que la vulnerabilidad, descubierta y
reportada por un investigador anónimo, fue aprovechada en ataques.

«Google es consciente de que existe un exploit para CVE-2024-4671»,
se lee en el aviso, sin proporcionar información adicional.

Las fallas de uso posterior a la liberación son fallas de seguridad que
ocurren cuando un programa continúa usando un puntero después de que se ha
liberado la memoria a la que apunta, luego de completar sus operaciones
legítimas en esa región. Debido a que la memoria liberada ahora podría
contener datos diferentes o ser utilizada por otro software o componentes,
acceder a ella podría provocar una fuga de datos, la ejecución de código o un
bloqueo.

Google solucionó el problema con el lanzamiento de 124.0.6367.201/.202 para
Mac/Windows y 124.0.6367.201 para Linux, y las actualizaciones se
implementarán en los próximos días/semanas.

Para los usuarios del canal «Extended Stable», las correcciones estarán
disponibles en la versión 124.0.6367.201 para Mac y Windows, que también se
implementarán más adelante.

Esta última falla abordada en Google Chrome es la quinta este año, y otras
tres se descubrieron durante el concurso de hacking
Pwn2Own
de marzo de 2024 en Vancouver.

La lista completa de vulnerabilidades de día cero de Chrome solucionadas desde
principios de 2024 también incluye lo siguiente:

  • CVE-2024-0519: una debilidad de acceso a memoria fuera de límites de alta gravedad
    dentro del motor JavaScript Chrome V8, que permite a atacantes remotos
    explotar la corrupción del montón a través de una página HTML especialmente
    diseñada, lo que conduce a un acceso no autorizado a información
    confidencial.
  • CVE-2024-2887: una falla de confusión de tipos de alta gravedad en el estándar
    WebAssembly (Wasm). Podría dar lugar a vulnerabilidades de ejecución remota
    de código (RCE) aprovechando una página HTML diseñada.
  • CVE-2024-2886: una vulnerabilidad de uso después de la liberación en la API WebCodecs
    utilizada por aplicaciones web para codificar y decodificar audio y video.
    Los atacantes remotos lo aprovecharon para realizar lecturas y escrituras
    arbitrarias a través de páginas HTML diseñadas, lo que llevó a la ejecución
    remota de código.
  • CVE-2024-3159: una vulnerabilidad de alta gravedad causada por una lectura fuera de
    límites en el motor JavaScript Chrome V8. Los atacantes remotos explotaron
    esta falla utilizando páginas HTML especialmente diseñadas para acceder a
    datos más allá del búfer de memoria asignado, lo que resultó en una
    corrupción del montón que podría aprovecharse para extraer información
    confidencial.

Fuente:
BC



Source link

Los comentarios están cerrados.