Google ha revelado que una falla de seguridad que fue reparada como parte de una actualización de software lanzada la semana pasada para su navegador Chrome ha sido explotada activamente.
Rastreado como CVE-2024-7965La vulnerabilidad ha sido descrita como un error de implementación inapropiado en el motor JavaScript V8 y WebAssembly.
“Una implementación inadecuada en V8 en Google Chrome anterior a 128.0.6613.84 permitió a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada”, según un descripción del error en la Base de Datos Nacional de Vulnerabilidad (NVD) del NIST.
A un investigador de seguridad que utiliza el seudónimo en línea TheDog se le atribuye el descubrimiento y el informe de la falla el 30 de julio de 2024, lo que le valió una recompensa por el error de $11,000.
No se han publicado más detalles sobre la naturaleza de los ataques que explotan la falla ni sobre la identidad de los actores de amenazas que pueden estar utilizándola. Sin embargo, el gigante tecnológico admitido que tiene conocimiento de la existencia de un exploit para CVE-2024-7965.
También decía, “en la explotación salvaje de CVE-2024-7965 […] “Se informó después de este lanzamiento”. Dicho esto, actualmente no está claro si la falla fue utilizada como un día cero antes de su divulgación la semana pasada.
Hacker News se ha puesto en contacto con Google para obtener más información sobre la falla y actualizaremos la historia si recibimos respuesta.
Google ha abordado hasta ahora nueve días cero en Chrome desde principios de 2024, incluidos tres que se demostraron en Pwn2Own 2024.
Se recomienda encarecidamente a los usuarios que actualicen a la versión 128.0.6613.84/.85 de Chrome para Windows y macOS, y a la versión 128.0.6613.84 para Linux para mitigar posibles amenazas.
About the Author
