Google ha parcheado dos fallas más de día cero en el navegador web Chrome para escritorio, lo que las convierte en la cuarta y quinta vulnerabilidades explotadas activamente que aborda el gigante de las búsquedas en las últimas semanas.
La compañía lanzó 86.0.4240.198 para Windows, Mac y Linux, que dijo que se implementará en los próximos días o semanas para todos los usuarios.
Rastreadas como CVE-2020-16013 y CVE-2020-16017, las fallas fueron descubiertas e informadas a Google por fuentes «anónimas», a diferencia de los casos anteriores, que fueron descubiertos por el equipo de seguridad de élite Project Zero de la empresa.
Google reconoció que los exploits para ambas vulnerabilidades existen en la naturaleza, pero no llegó a compartir más detalles para permitir que la mayoría de los usuarios instalen las correcciones.
Según las notas de la versión, los dos defectos son:
- CVE-2020-16013: El 9 de noviembre se informó de una «implementación inapropiada» de su motor de renderizado JavaScript V8.
- CVE-2020-16017: El 7 de noviembre se informó de un problema de corrupción de memoria de uso después de liberar en la función de aislamiento del sitio de Chrome.
Vale la pena señalar que el día cero que parchó la semana pasada, CVE-2020-16009, también se refería a una implementación inapropiada de V8, lo que llevó a la ejecución remota de código. No está claro de inmediato si los dos defectos están relacionados.
Durante la semana pasada, Google reveló una serie de fallas de día cero explotadas activamente dirigidas a Chrome, Windows y iOS y macOS de Apple, y aunque parece que algunos de estos problemas se unieron para formar una cadena de explotación, la compañía aún no revelar detalles clave sobre quién pudo haberlos usado y quiénes eran los objetivos previstos.
Se recomienda que los usuarios actualicen sus dispositivos a la última versión de Chrome para mitigar el riesgo asociado con las dos fallas.