22 de agosto de 2024
Una falla de alta gravedad en el navegador Chrome de Google, que ha sido explotada activamente en la naturaleza, ha sido solucionada mediante actualizaciones de seguridad publicadas recientemente por la compañía. Se descubrió que la vulnerabilidad, CVE-2024-7971, era un problema de confusión de tipos en el motor V8 JavaScript y WebAssembly.
Base de datos nacional de vulnerabilidades (NVD) del Instituto Nacional de Estándares y Tecnología (NIST) informada que escriben confusión en V8 antes de la versión 128.0.6613.84 de Google Chrome, un atacante remoto podría explotar la corrupción del montón a través de una página HTML especialmente diseñada.
El 19 de agosto de 2024, el Centro de inteligencia de amenazas de Microsoft (MSTIC) y el Centro de respuesta de seguridad de Microsoft (MSRC) descubrieron y reportaron la falla. Sin embargo, aún no se han revelado detalles específicos sobre los ataques que aprovecharon esta falla o las identidades de los actores de la amenaza. Google está dando prioridad a garantizar que la mayoría de los usuarios hayan actualizado sus navegadores con la solución.
Google ha reconocido el conocimiento de un exploit para CVE-2024-7971 en una breve declaración, que es Actualmente está activo en la naturaleza. Esto marca el tercer caso de vulnerabilidad de confusión de tipos en V8 que Google ha abordado este año, siendo las vulnerabilidades anteriores CVE-2024-4947 y CVE-2024-5274.
En total, Google ha reconocido nueve vulnerabilidades de día cero en Chrome desde principios de 2024, incluidas tres demostradas en Pwn2Own 2024:
- CVE-2024-0519: Acceso a memoria fuera de límites en V8
- CVE-2024-2886: Uso después de la liberación en WebCodecs (demostrado en Pwn2Own 2024)
- CVE-2024-2887: Confusión de tipos en WebAssembly (demostrado en Pwn2Own 2024)
- CVE-2024-3159: Acceso a memoria fuera de límites en V8 (demostrado en Pwn2Own 2024)
- CVE-2024-4671: Uso después de la liberación gratuita en elementos visuales
- CVE-2024-4761: Escritura fuera de límites en V8
- CVE-2024-4947: Confusión de tipos en V8
- CVE-2024-5274: Confusión de tipos en V8
Se recomienda que los usuarios actualicen su navegador Chrome a la versión 128.0.6613.84/.85 para Windows y macOS, y a la versión 128.0.6613.84 para Linux para mitigar cualquier riesgo potencial. Esto también se aplica a quienes utilizan navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, y las actualizaciones deben aplicarse tan pronto como estén disponibles.