Google lanzó una nueva actualización de seguridad de emergencia de Chrome
para parchear una vulnerabilidad Zero-Day etiquetada como explotada en
ataques.
«Google es consciente de que existe un exploit para CVE-2024-7971»,
dijo la compañía en un
aviso
publicado el miércoles.
Esta vulnerabilidad de día cero de alta gravedad es causada por una debilidad
de
confusión de tipos
en el motor JavaScript V8 de Chrome. Los investigadores de seguridad del
Centro de inteligencia de amenazas de Microsoft (MSTIC) y del Centro de
respuesta de seguridad de Microsoft (MSRC) lo informaron el lunes.
Aunque estas fallas de seguridad comúnmente pueden permitir a los atacantes
provocar fallas en el navegador después de que los datos asignados a la
memoria se interpretan como un tipo diferente, también pueden explotarlas para
la ejecución de código arbitrario en dispositivos específicos que ejecutan
navegadores sin parches.
Google ha solucionado el problema con el lanzamiento de 128.0.6613.84/85 para
Windows/macOS y 128.0.6613.84 (Linux), versiones que se implementarán para
todos los usuarios del canal de escritorio estable durante las próximas
semanas.
Aunque Google confirmó que la vulnerabilidad CVE-2024-7971 se utilizó en
ataques, la compañía aún no ha compartido información adicional sobre la
explotación en estado salvaje.
«El acceso a los detalles del error y a los enlaces puede mantenerse
restringido hasta que la mayoría de los usuarios se actualicen con una
solución», dijo Google.
«También mantendremos las restricciones si el error existe en una
biblioteca de terceros de la que dependen otros proyectos de manera similar,
pero que aún no se ha solucionado».
CVE-2024-7971 es el noveno Zero-Day en Chrome parcheado por Google en 2024, ya
sea explotado en la naturaleza o en el concurso de hacking Pwn2Own:
- CVE-2024-0519 – Out-of-bounds memory access in V8
- CVE-2024-2886 – Use-after-free in WebCodecs (demonstrated at Pwn2Own 2024)
- CVE-2024-2887 – Type confusion in WebAssembly (demonstrated at Pwn2Own 2024)
- CVE-2024-3159 – Out-of-bounds memory access in V8 (demonstrated at Pwn2Own 2024)
- CVE-2024-4671 – Use-after-free in Visuals
- CVE-2024-4761 – Out-of-bounds write in V8
- CVE-2024-494 – Type confusion in V8
- CVE-2024-5274 – Type confusion in V8
Fuente:
BC
Los comentarios están cerrados.