Google lanzó este martes 16 de enero una actualización que corrige varias vulnerabilidades en el motor V8 de JavaScript utilizado por Chrome. Una de ellas es un zero-day de alta criticidad que, según el gigante tecnológico, está siendo activamente explotado.
Esta es la primera vulnerabilidad zero-day de Chrome en este 2024. A finales de diciembre Google solucionó otras que afectaban también al motor V8. En esta ocasión el fallo permite, mediante una página HTML manipulada, acceder a memoria fuera de los límites legítimos de alguna estructura de datos del programa.
Además de poder provocar una denegación de servicio, este error hace inefectiva la protección ASLR. El fallo facilita por tanto realizar ataques de buffer overflow que permitan ejecución de código remoto en los sistemas afectados. La ausencia de esta protección hace a la vulnerabilidad una candidata ideal para ser enlazada con otras y provocar que un equipo sea comprometido.
La vulnerabilidad no ha sido descrita en detalle
Catalogada como CVE-2024-0519, Google pospone la publicación de una explicación más detallada de la vulnerabilidad hasta que el parche haya sido aplicado por una mayoría de usuarios. La vulnerabilidad se encuentra corregida en las versiones 120.0.6099.224/225 de Windows, 120.0.6099.234 de macOS, y 120.0.6099.224 de Linux. Los navegadores Microsoft Edge, Brave, Opera y Vivaldi, basados en Chromium, también están afectados, por lo que es necesario aplicar las actualizaciones correspondientes cuando estén disponibles.
Chrome y los navegadores basados en Chromium copan casi el 80% del mercado mundial de navegadores de escritorio. Los fallos de seguridad en la plataforma son por tanto muy jugosos para los atacantes. La explotación de hasta ocho zero-days que afectaron a Chrome durante 2023 así lo atestigua. Uno de los más usados en ataques durante el año pasado, con CVE-2023-4762, está relacionado con la distribución de software espía con políticos, periodistas y disidentes como objetivo.
Tomado de la web de Segurmatica Anti-virus