Google lanzó el martes actualizaciones para solucionar cuatro problemas de seguridad en su navegador Chrome, incluida una falla de día cero explotada activamente.
El problema, rastreado como CVE-2024-0519se refiere a un acceso a la memoria fuera de los límites en el motor V8 JavaScript y WebAssembly, que los actores de amenazas pueden utilizar como arma para provocar un bloqueo.
«Al leer la memoria fuera de los límites, un atacante podría obtener valores secretos, como direcciones de memoria, que pueden evitar mecanismos de protección como ASLR para mejorar la confiabilidad y la probabilidad de explotar una debilidad separada para lograr el código. ejecución en lugar de simplemente denegación de servicio», según la Enumeración de debilidades comunes de MITRE (CWE).
Se han ocultado detalles adicionales sobre la naturaleza de los ataques y los actores de amenazas que pueden estar explotándolos en un intento de evitar una mayor explotación. El problema se informó de forma anónima el 11 de enero de 2024.
«El acceso a memoria fuera de los límites en V8 en Google Chrome anterior a 120.0.6099.224 permitía a un atacante remoto explotar potencialmente la corrupción del montón a través de una página HTML diseñada», se lee en un descripción del defecto en la Base de datos nacional de vulnerabilidad (NVD) del NIST.
El desarrollo marca el primer día cero explotado activamente que Google parcheará en Chrome en 2024. El año pasado, el gigante tecnológico resolvió un total de 8 días cero explotados activamente en el navegador.
Se recomienda a los usuarios actualizar a la versión 120.0.6099.224/225 de Chrome para Windows, 120.0.6099.234 para macOS y 120.0.6099.224 para Linux para mitigar posibles amenazas.
También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.