Exactamente un mes después de parchear una falla de día cero en Chrome que se explota activamente, Google implementó soluciones para otra vulnerabilidad de día cero en el navegador web más popular del mundo que, según dice, está siendo abusada en la naturaleza.

Chrome 89.0.4389.72, lanzado el martes por el gigante de las búsquedas para Windows, Mac y Linux, viene con un total de 47 correcciones de seguridad, la más grave de las cuales se refiere a un «problema del ciclo de vida del objeto en el audio».

Rastreada como CVE-2021-21166, la falla de seguridad es uno de los dos errores informados el mes pasado por Alison Huffman de Microsoft Browser Vulnerability Research el 11 de febrero. Una falla separada del ciclo de vida del objeto, también identificada en el componente de audio, se informó a Google el 4 de febrero, el mismo día que estuvo disponible la versión estable de Chrome 88.

Sin detalles adicionales, no está claro de inmediato si las dos deficiencias de seguridad están relacionadas.

Google reconoció que existe un exploit para la vulnerabilidad, pero no llegó a compartir más detalles para permitir que la mayoría de los usuarios instalen las correcciones y evitar que otros actores de amenazas creen exploits dirigidos a este día cero.

«Google está al tanto de los informes de que existe un exploit para CVE-2021-21166», dijo el gerente de programa técnico de Chrome, Prudhvikumar Bommana.

Esta es la segunda falla de día cero en Chrome que Google ha abordado desde principios de año.

El 4 de febrero, la empresa corrigió una falla de desbordamiento del búfer de pila explotada activamente (CVE-2021-21148) en su motor de renderizado JavaScript V8. Además, Google resolvió el año pasado cinco días cero de Chrome que se explotaron activamente en un lapso de un mes entre el 20 de octubre y el 12 de noviembre.

Los usuarios de Chrome pueden actualizar a la última versión dirigiéndose a Configuración> Ayuda> Acerca de Google Chrome para mitigar el riesgo asociado con la falla.