Google ha implementado correcciones de seguridad para abordar una falla de seguridad de alta gravedad en su navegador Chrome que, según dice, ha sido objeto de explotación activa.
Rastreado como CVE-2024-7971La vulnerabilidad ha sido descrita como un error de confusión de tipos en el motor JavaScript V8 y WebAssembly.
«La confusión de tipos en V8 en Google Chrome anterior a 128.0.6613.84 permitió a un atacante remoto explotar la corrupción del montón a través de una página HTML diseñada», según un descripción del error en la Base de Datos Nacional de Vulnerabilidad (NVD) del NIST.
Se atribuye al Centro de inteligencia de amenazas de Microsoft (MSTIC) y al Centro de respuesta de seguridad de Microsoft (MSRC) el descubrimiento y el informe de la falla el 19 de agosto de 2024.
No se han publicado detalles adicionales sobre la naturaleza de los ataques que explotan la falla ni sobre la identidad de los actores de amenazas que pueden estar utilizándola como arma, principalmente para garantizar que la mayoría de los usuarios estén actualizados con una solución.
El gigante tecnológico, sin embargo, admitido En una breve declaración, afirma que «está al tanto de que existe un exploit para CVE-2024-7971». Vale la pena mencionar que CVE-2024-7971 es el tercer error de confusión de tipos que ha parcheado en V8 este año después de CVE-2024-4947 y CVE-2024-5274.
Google ha abordado hasta ahora nueve días cero en Chrome desde principios de 2024, incluidos tres que se demostraron en Pwn2Own 2024.
Se recomienda a los usuarios actualizar a la versión 128.0.6613.84/.85 de Chrome para Windows y macOS, y a la versión 128.0.6613.84 para Linux para mitigar posibles amenazas.
También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones a medida que estén disponibles.