Google ha solucionado su primera vulnerabilidad de día cero de Chrome del año, explotada activamente.
La falla se rastrea como CVE-2024-0519 y permite a los atacantes obtener acceso a datos confidenciales o iniciar negación de servicio ataques. Se dijo que la falla también se puede encadenar con otras vulnerabilidades para lograr la ejecución remota de código (RCE).
«Google está al tanto de los informes de que existe un exploit para CVE-2024-0519», dijo el navegador dijo el gigante en un consultivo publicado a principios de esta semana.
No hay detalles – todavía
La última versión del navegador es 120.0.6099.224/225 para Windows, 120.0.6099.234 para Mac y 120.0.6099.224 para Linux. Aunque Google suele decir que el lanzamiento del parche en el canal de escritorio estable será gradual, estaba disponible cuando intentamos actualizar el navegador hace un momento.
Aún así, la actualización no fue automática y requirió que abriéramos el menú Configuración y busquemos actualizaciones.
CVE-2024-0519 se describe como una debilidad de acceso a memoria fuera de límites de alta gravedad en el motor JavaScript Chrome V8.
«El centinela esperado podría no estar ubicado en la memoria fuera de los límites, lo que provocaría una lectura excesiva de datos, lo que provocaría una falla de segmentación o un desbordamiento del búfer», dijo MITRE. «El producto puede modificar un índice o realizar aritmética de punteros que hace referencia a una ubicación de memoria que está fuera de los límites del búfer. Una operación de lectura posterior produce resultados indefinidos o inesperados». Es más, la vulnerabilidad se puede utilizar para evitar ASLR y mecanismos de protección de derivación similares y encadenarse con otras fallas para RCE.
Dada la gravedad de la vulnerabilidad, Google decidió no compartir detalles adicionales hasta que la gran mayoría de los navegadores hayan sido actualizados.
«El acceso a los detalles del error y a los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución», dijo Google. «También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se ha solucionado».
A través de pitidocomputadora
