miércoles, 29 de mayo de 2024

Google lanzó actualizaciones para Chrome en mayo y corrigió tres vulnerabilidades zero day

Durante este mes, Google lanzó una serie de actualizaciones para su navegador y corrigió tres nuevas zero day que están siendo aprovechadas por cibercriminales. En lo que va de 2024 ya son siete las zero-day parcheadas.


En las últimas semanas, Google lanzó nuevas actualizaciones para el navegador Google Chrome y corrigió una serie de vulnerabilidades que es importante parchear.

En total, ya son once las vulnerabilidades corregidas en Chrome durante 2024, de las cuales siete fueron zero-day. Afectan a Google Chrome —el más apuntado por cibercriminales— y potencialmente a otros navegadores basados en Chromium que también es recomendable actualizar.

Tres vulnerabilidades zero day solo este mes 

En principios de mayo se habían lanzado las correcciones de las vulnerabilidades zero-day CVE-2024-4947, CVE-2024-4671 y CVE-2024-4761. En todos los casos, Google confirmó que está al tanto de los reportes que indican su explotación activa.

En el caso de la CVE-2024-4947, es una vulnerabilidad de alta severidad del tipo type confusion en el motor V8 de JavaScript y WebAssembly que utiliza el navegador. Permite a un atacante remoto ejecutar código arbitrario dentro de un sandbox mediante el envío de una página HTML especialmente diseñada.

La semana previa, la compañía había lanzado un parche para corregir la CVE-2024-4671 y la CVE-2024-4761. La primera se trata de una falla del tipo use after free en el componente Visual y la segunda de un error de escritura out of bounds en el motor JavaScript V8 

La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos añadió estas vulnerabilidades a su catálogo de vulnerabilidades explotadas conocidas que se basa en la evidencia del uso de estos fallos por actores maliciosos. 

Otras vulnerabilidades zero-day corregidas en Google Chrome durante este año

A continuación, compartimos el detalle de las otras vulnerabilidades zero-days corregidas este año por Google. 

-CVE-2024-0519: vulnerabilidad descubierta en enero de 2024 que afecta a otros navegadores basados en Chromium y que puede ser aprovechada mediante páginas HTML especialmente diseñadas. 

-CVE-2024-2887: vulnerabilidad del tipo type confusion de alta gravedad en el estándar WebAssembly (Wasm). La misma podría dar lugar a exploits de ejecución remota de código aprovechando páginas HTML especialmente diseñadas. 

-CVE-2024-2886: Vulnerabilidad del tipo use after free en la API de WebCodecs, la cual es utilizada por las aplicaciones web para codificar y decodificar audio y vídeo. Este fallo podría ser aprovechado para realizar ataques de escritura o lectura arbitraria de código en el equipo de la víctima mediante páginas HTML especialmente elaboradas. 

-CVE-2024-3159: es una vulnerabilidad de alta severidad que permite lectura out of bounds en el motor V8 de Chrome. Un atacante remoto podría aprovecharla para acceder a los datos más allá del búfer de memoria asignado y así extraer información confidencial. 

¿Cómo actualizar el sistema? 

Las nuevas versiones se implementarán automáticamente en los próximos días (125.0.6422.60/.61 para Mac/Windows y 125.0.6422.60 para Linux). 

Puedes chequear si tu navegador está actualizado ingresando a la sección “Ayuda/ Acerca de…”, que se encuentra haciendo clic en los tres puntos de lado derecho superior de la pantalla, en todos los navegadores basados en Chromium.

Consejos de Seguridad

Es importante actualizar tu navegador regularmente para asegurarte de contar con los parches de seguridad que corrigen vulnerabilidades que podrían ser explotadas por los cibercriminales para acceder a tu información personal o tomar el control de tu dispositivo.

Adicionalmente, recuerda mantener tus contraseñas fuertes y únicas para cada sitio o servicio online; habilitar la autenticación de dos factores; Mantener actualizado el software y contar con una solución antimalware.


Fuente: welivesecurity.com

No hay comentarios.:

Publicar un comentario

Las bandas de ransomware reclutan pentesters para mejorar la efectividad de sus ataques

 Estos grupos están contratando figuras de este tipo para probar si su software tendría la capacidad de penetrar en las organizaciones. Much...