Nueva vulnerabilidad Zero Day de Google Chrome se encuentra bajo explotación activa

Google envió correcciones de emergencia el lunes para abordar una nueva vulnerabilidad zero-day en el navegador web Chrome que ha sido objeto de explotación activa en la naturaleza.

La vulnerabilidad de alta gravedad, identificada como CVE-2024-4761, es un error de escritura fuera de límites que afecta al motor V8 de JavaScript y WebAssembly. Fue informada de manera anónima el 9 de mayo de 2024.

Los errores de escritura fuera de límites suelen ser aprovechados por actores malintencionados para corromper datos, causar un fallo o ejecutar código arbitrario en equipos comprometidos.

«Google tiene constancia de que existe un exploit para CVE-2024-4761 en circulación», dijo la gigante tecnológica.

Se han retenido detalles adicionales sobre la naturaleza de los ataques para evitar que más actores de amenazas aprovechen la vulnerabilidad.

La divulgación llega apenas unos días después de que la empresa parcheara CVE-2024-4671, una vulnerabilidad de uso después de liberar en el componente Visuals que también ha sido explotada en ataques del mundo real.

Con la última corrección, Google ha abordado un total de seis vulnerabilidades zero-day desde el inicio del año, tres de las cuales fueron demostradas en el concurso de hacking Pwn2Own en Vancouver en marzo:

• CVE-2024-0519 – Acceso fuera de límites a la memoria en V8 (explotada activamente)
• CVE-2024-2886 – Uso después de liberar en WebCodecs
• CVE-2024-2887 – Confusión de tipos en WebAssembly
• CVE-2024-3159 – Acceso fuera de límites a la memoria en V8
• CVE-2024-4671 – Uso después de liberar en Visuals (explotada activamente)

Se recomienda a los usuarios actualizar a la versión 124.0.6367.207/.208 de Chrome para Windows y macOS, y a la versión 124.0.6367.207 para Linux para mitigar posibles amenazas.

También se aconseja a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones tan pronto como estén disponibles.