23 May 2024
•
,
3 min. read
Google lanzó la tercera actualización en lo que va de mayo para corregir once vulnerabilidades de alta severidad
En las últimas dos semanas Google lanzó tres nuevas actualizaciones para el navegador Google Chrome para corregir vulnerabilidades que están siendo aprovechadas por atacantes.
En total, ya son once las vulnerabilidades corregidas por Google durante 2024, de las cuales 7 fueron zero-day-. Afectan a Google Chrome —el más apuntado por cibercriminales— y potencialmente a otros navegadores basados en Chromium por lo que es recomendable actualizarlos.
Las vulnerabilidades corregidas en esta nueva actualización son las siguientes:
CVE-2024-5157: vulnerabilidad de alta severidad del tipo Use after free que afecta en Scheduling.
CVE-2024-5158: Es un fallo de alta severidad del tipo type confusion que radica en el motor V8 de JavaScript y WebAssembly. Permite a un atacante remoto ejecutar código arbitrario dentro de un sandbox a través de una página HTML especialmente diseñada.
CVE-2024-5159: Se trata de un heap buffer overflow en Angle, una capa de abstracción gráfica que permite que OpenGL se ejecute en sistemas y dispositivos que no soportan. Es utilizado por navegadores web para renderizar gráficos en sistemas donde OpenGL no está disponible]
CVE-2024-5160 heap buffer overflow in Dawn es un proyecto de código abierto de Google que proporciona una implementación de WebGPU en Chrome.
Tres vulnerabilidades zero day solo este mes
En principios de mayo se habían lanzado las correcciones de las vulnerabilidades zero-day CVE-2024-4947, CVE-2024-4671 y CVE-2024-4761.
En el caso de la CVE-2024-4947, es una vulnerabilida de zero day de alta severidad causada por una debilidad del tipo type confusion en el motor V8 de JavaScript y WebAssembly. Permite a un atacante remoto ejecutar código arbitrario dentro de un sandbox a través de una página HTML especialmente diseñada.
Fue reportada como explotada en ataques dirigidos y Google afirma que se encontró siendo explotada in the wild
La semana previa, había lanzado un parche de seguridad para corregir las CVE-2024-4671 y CVE-2024-4761. La primera se trata de una falla del tipo “use after free” en el componente Visual y la segunda de un error de escritura out of bounds en el motor JavaScript V8
La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos, catálogo de vulnerabilidades explotadas conocidas que se basa en la evidencia de explotación activa. Esto responde a que es un vector de ataque frecuente para los cibercriminales y que además se erige como un riesgo significativo.
Las otras vulnerabilidades zero-day corregidas por Google este año
A continuación, compartimos el detalle de las otras vulnerabilidades zero-days corregidas este año por Google.
-CVE-2024-0519: vulnerabilidad de acceso a la memoria out of bounds en motor V8 Chrome V8.
-CVE-2024-2887: Error de Type confusion de alta gravedad en el estándar WebAssembly (Wasm), podría dar lugar a exploits de ejecución remota de código aprovechando una página HTML elaborada especialmente.
-CVE-2024-2886: Vulnerabilidad de use after free en la API de WebCodecs es utilizada por las aplicaciones web para codificar y decodificar audio y vídeo. Fue explotada para realizar lecturas y escrituras arbitrarias a través de páginas HTML elaboradas, lo que llevó a la ejecución remota de código.
-CVE-2024-3159: es una vulnerabilidad de alta gravedad que permite lectura out of bounds en el motor V8 de Chrome . Los atacantes remotos la aprovechan para acceder a los datos más allá del búfer de memoria asignado, lo que resulta en daños que podrían aprovecharse para extraer información confidencial.
¿Cómo actualizar el sistema?
Las nuevas versiones se implementarán automáticamente en los próximos días (125.0.6422.60/.61 para Mac/Windows y 125.0.6422.60 para Linux).
Pero también los usuarios pueden confirmar que están ejecutando la última versión de Chrome siguiendo los siguientes pasos: Ayuda > Acerca de Google Chrome, y allí dejar que finalice la actualización, para luego hacer clic en “Reiniciar” para instalarla.
Google News