Se ha lanzado una actualización de seguridad por el zero-day de Chrome el objetivo de solucionar la quinta vulnerabilidad del navegador Google. Esta vulnerabilidad, identificada como CVE-2024-4671, es de alta gravedad y afecta al componente Visuals, encargado de la representación y visualización de contenido en el navegador.

Google reveló que un investigador anónimo descubrió y reportó esta vulnerabilidad que ha sido aprovechada en ataques. Según el aviso, «Google tiene conocimiento de que existe un exploit para CVE-2024-4671 en la naturaleza», aunque no proporcionó información adicional.

Esta vulnerabilidad se clasifica como «uso después de liberar» y ocurre cuando un programa continúa utilizando un puntero después de que la memoria a la que apunta ha sido liberada, una vez que ha completado sus operaciones legítimas en esa región.

Debido a que la memoria liberada podría contener ahora datos diferentes o estar en uso por otro software o componentes, acceder a ella podría resultar en fugas de información, ejecución de código o bloqueos del sistema.

Para abordar este problema, Google ha lanzado las versiones 124.0.6367.201/.202 para Mac/Windows y 124.0.6367.201 para Linux, y las actualizaciones se implementarán en los próximos días/semanas.

En el caso de los usuarios del canal «Extended Stable», las correcciones estarán disponibles en la versión 124.0.6367.201 para Mac y Windows, y se lanzarán posteriormente.

EL zero-day de Chrome esta ultima vulnerabilidad solucionada

Es la quinta de este año, y se suman a otras tres descubiertas durante el concurso de hacking Pwn2Own en Vancouver en marzo de 2024.

La lista completa de vulnerabilidades zero-day de Chrome solucionadas desde el comienzo de 2024 incluye:

  • CVE-2024-0519: Una debilidad de acceso a memoria fuera de límites de alta gravedad en el motor de JavaScript V8 de Chrome. Permite a atacantes remotos aprovechar una corrupción de montón mediante una página HTML especialmente diseñada, lo cual conduce a un acceso no autorizado.
  • CVE-2024-2887: Una falla de confusión de tipo de alta gravedad en el estándar WebAssembly (Wasm), que podría llevar a la ejecución remota de código (RCE) mediante una página HTML manipulada.
  • CVE-2024-2886: Una vulnerabilidad de «uso después de liberar» en la API WebCodecs utilizada por aplicaciones web para codificar y decodificar audio y video. Atacantes remotos la han explotado para realizar lecturas y escrituras arbitrarias a través de páginas HTML manipuladas, lo que da lugar a una ejecución remota de código.
  • CVE-2024-3159: Una vulnerabilidad de alta gravedad causada por una lectura fuera de límites en el motor de JavaScript V8 de Chrome. Atacantes remotos han aprovechado esta falla utilizando páginas HTML especialmente diseñadas para acceder a datos más allá del búfer de memoria asignado, lo cual resulta en una corrupción de montón que podría ser aprovechada para extraer información sensible.

Fuente:

Google fixes fifth Chrome zero-day exploited in attacks this year (bleepingcomputer.com)