Google ha revelado que una falla de seguridad, la cual fue corregida en una actualización reciente para su navegador Chrome, ha sido activamente explotada. Esta vulnerabilidad, identificada como CVE-2024-7965, se describe como un error de implementación inapropiado en el motor JavaScript V8 y WebAssembly.

La descripción del problema en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST señala: “Una implementación inadecuada en V8 en Google Chrome anterior a 128.0.6613.84 permitió a un atacante remoto potencialmente explotar la corrupción del montón a través de una página HTML diseñada”.

El descubrimiento y reporte de esta vulnerabilidad se atribuye a un investigador de seguridad que usa el seudónimo en línea TheDog, quien recibió una recompensa de $11,000 por su hallazgo, reportado el 30 de julio de 2024.

Hasta ahora, Google no ha proporcionado detalles adicionales sobre la naturaleza de los ataques que explotan esta falla ni sobre los actores de amenazas involucrados. Sin embargo, la compañía ha confirmado que está al tanto de la existencia de un exploit para CVE-2024-7965 y que se ha informado de una explotación generalizada después del lanzamiento de la actualización. No está claro si la falla fue utilizada como arma de día cero antes de su divulgación.

Hacker News ha contactado a Google para obtener más información y actualizará la historia si se recibe una respuesta.

Desde principios de 2024, Google ha abordado nueve vulnerabilidades de día cero en Chrome, incluyendo tres que fueron demostradas en Pwn2Own 2024. Estas vulnerabilidades son:

  • CVE-2024-0519: Acceso a memoria fuera de límites en V8
  • CVE-2024-2886: Uso posterior a la liberación en WebCodecs (demostrado en Pwn2Own 2024)
  • CVE-2024-2887: Confusión de tipos en WebAssembly (demostrado en Pwn2Own 2024)
  • CVE-2024-3159: Acceso a memoria fuera de límites en V8 (demostrado en Pwn2Own 2024)
  • CVE-2024-4671: Uso posterior a la liberación en elementos visuales
  • CVE-2024-4761: Escritura fuera de límites en V8
  • CVE-2024-4947: Confusión de tipos en V8
  • CVE-2024-5274: Confusión de tipos en V8
  • CVE-2024-7971: Confusión de tipos en V8

Se recomienda encarecidamente a los usuarios que actualicen a la versión 128.0.6613.84/.85 de Chrome para Windows y macOS, y a la versión 128.0.6613.84 para Linux para mitigar posibles amenazas.

Fuente: thehackernews.com