Google ha lanzado actualizaciones de seguridad para abordar varias vulnerabilidades en su motor de búsqueda Chrome, entre las cuales se tiene una catalogada como Zero Day, misma que está siendo activamente explotada. Estas vulnerabilidades están identificadas como CVE-2024-0519, CVE-2024-0517 y CVE-2024-0518, las cuales presentan un riesgo significativo para la integridad de los datos y la privacidad de los usuarios.
La primera y más crítica (Zero Day), CVE-2024-0519, es una vulnerabilidad de acceso a memoria fuera de los límites en el motor V8 de Chrome, que ha sido explotada activamente y podría permitir a un atacante malintencionado obtener valores secretos, como direcciones de memoria, y posiblemente eludir mecanismos de protección como ASLR. Esto podría mejorar la confiabilidad y la probabilidad de explotar una debilidad separada para lograr la ejecución de código en lugar de solo la denegación de servicio. Este fallo representa un punto de ataque crítico ya que permite acciones más allá de la mera interrupción del servicio, abriendo la posibilidad de ataques más sofisticados y perjudiciales.
Las otras dos vulnerabilidades, CVE-2024-0517 y CVE-2024-0518, aunque menos críticas, también representan riesgos importantes. La CVE-2024-0517 implica una escritura fuera de límites, y la CVE-2024-0518 se relaciona con una confusión de tipos. Ambas tienen el potencial de permitir a un atacante ejecutar código arbitrario en el dispositivo de una víctima, lo que podría utilizarse para comprometer aún más el sistema o los datos personales.
Productos Afectados
Los productos afectados por estas vulnerabilidades son las versiones de Google Chrome antes de las actualizaciones de seguridad recientes. Esto incluye las siguientes versiones específicas para cada sistema operativo:
- Para usuarios de Windows, las versiones afectadas son todas aquellas anteriores a la 120.0.6099.224/225.
- En el caso de macOS, las versiones comprometidas son anteriores a la 120.0.6099.234.
- Para los usuarios de Linux, las versiones afectadas son todas las anteriores a la 120.0.6099.224.
Solución
Google ha actuado con premura ante la detección de estas vulnerabilidades y ha liberado parches de seguridad para mitigar los riesgos asociados. La solución inmediata para los usuarios y administradores de sistemas es actualizar a las versiones más recientes de Google Chrome que ya tienen incorporadas las correcciones necesarias para estas vulnerabilidades críticas. Las versiones seguras y actualizadas son:
- Google Chrome versión 120.0.6099.224/225 para sistemas operativos Windows.
- Google Chrome versión 120.0.6099.234 para sistemas operativos macOS.
- Google Chrome versión 120.0.6099.224 para sistemas operativos Linux.
Recomendaciones
- Actualizar inmediatamente todos los navegadores afectados a la última versión disponible para cerrar la brecha de seguridad que estas vulnerabilidades han creado.
- Revisar todas las políticas y configuraciones de seguridad del navegador para asegurar que se adhieran a las mejores prácticas y minimizar la superficie de ataque.
- Monitorear activamente los sistemas para detectar cualquier actividad sospechosa o indicadores de compromiso que puedan surgir como resultado de estas vulnerabilidades, implementando medidas proactivas de detección y respuesta ante incidentes.
Referencias: