Actualice su navegador Chrome para parchear 2 nuevos exploits de día cero en estado salvaje

Chrome 0-Days bajo ataque

Google lanzó el martes una nueva versión del software de navegación web Chrome para Windows, Mac y Linux con parches para dos vulnerabilidades de seguridad recién descubiertas para las cuales dice que existen explotaciones en la naturaleza, lo que permite a los atacantes participar en la explotación activa.

Una de las dos fallas se refiere a una validación insuficiente de la entrada no confiable en su motor de renderizado JavaScript V8 (CVE-2021-21220), que fue demostrado por Bruno Keith y Niklas Baumstark de Dataflow Security en el concurso de piratería Pwn2Own 2021 la semana pasada.

Si bien Google se movió para corregir la falla rápidamente, el investigador de seguridad Rajvardhan Agarwal publicó un exploit funcional durante el fin de semana mediante la ingeniería inversa del parche que el equipo de Chromium impulsó al componente de código abierto, un factor que puede haber jugado un papel crucial en el lanzamiento. .

ACTUALIZAR: Agarwal, en un correo electrónico a The Hacker News, confirmó que hay una vulnerabilidad más que afecta a los navegadores basados ​​en Chromium que se han parcheado en la última versión de V8, pero que no se ha incluido en el lanzamiento de Chrome hoy, lo que deja a los usuarios potencialmente vulnerables a los ataques incluso después de instalar la nueva actualización.

«Aunque ambas fallas son de naturaleza diferente, pueden explotarse para obtener RCE en el proceso de renderizado», dijo Agarwal a The Hacker News por correo electrónico. «Sospecho que el primer parche se lanzó con la actualización de Chrome debido al exploit publicado, pero como el segundo parche no se aplicó a Chrome, aún se puede explotar».

La empresa también resolvió una vulnerabilidad de uso posterior a la liberación en su motor de navegador Blink (CVE-2021-21206). A un investigador anónimo se le atribuye haber informado de la falla el 7 de abril.

Chrome 0-Days bajo ataque

«Google está al tanto de los informes de que existen exploits para CVE-2021-21206 y CVE-2021-21220», señaló el gerente del programa técnico de Chrome, Prudhvikumar Bommana, en una publicación de blog.

Vale la pena señalar que la existencia de un exploit no es evidencia de una explotación activa por parte de los actores de amenazas. Desde principios de año, Google ha solucionado tres deficiencias en Chrome que han estado bajo ataque, incluidas CVE-2021-21148, CVE-2021-21166 y CVE-2021-21193.

Se espera que Chrome 89.0.4389.128 se lance en los próximos días. Los usuarios pueden actualizar a la última versión dirigiéndose a Configuración> Ayuda> Acerca de Google Chrome para mitigar el riesgo asociado con las fallas.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática