Google lanza una actualización de seguridad crítica para su navegador web Chrome, abordando múltiples vulnerabilidades que podrían permitir la ejecución de código arbitrario y comprometer la seguridad de los usuarios. Estas vulnerabilidades representan una seria amenaza, especialmente la vulnerabilidad «zero-day» identificada como CVE-2024-4947, que está siendo activamente explotada por actores maliciosos.
- CVE-2024-4947 (ALTA): Esta vulnerabilidad catalogada como confusión de tipos (Type Confusion) en el motor V8 podría permitir a un atacante ejecutar código arbitrario en el sistema de un usuario, comprometiendo sus datos y su dispositivo.
- CVE-2024-4948 (ALTA): Esta falla de tipo uso después de liberación (Use after free) en el tema Dawn podría explotarse para ejecutar código malicioso en el contexto del usuario.
- CVE-2024-4949 (MEDIA): Esta es otra falla de uso después de liberación (Use after free) en el motor V8, la misma podría permitir a un atacante ejecutar código en el sistema del usuario, aunque con menos privilegios que la vulnerabilidad anterior.
- CVE-2024-4950 (BAJA): Esta vulnerabilidad se debe a una implementación inapropiada en la sección de Descargas. Aunque la gravedad de esta vulnerabilidad es baja, aún representa un riesgo para la seguridad del usuario al permitir la ejecución de código no deseado.
Versiones afectadas:
- Google Chrome versiones anteriores a la 125.0.6422.60 en Linux y 125.0.6422.60/.61 en Windows y Mac.
Solución:
- Actualizar a la última versión de Google Chrome 125.0.6422.60 en Linux y 125.0.6422.60/.61 en Windows y Mac.
Recomendaciones:
- Aplicar lo antes posible las actualizaciones proporcionadas por Google para mitigar las vulnerabilidades mencionadas.
- Utilizar filtros de URL basados en la red para limitar la conexión a sitios web potencialmente maliciosos.
- Activar las actualizaciones automáticas en el navegador Chrome para mantener su sistema protegido ante nuevas vulnerabilidades que se presenten.
Referencias:
- https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-google-chrome-could-allow-for-arbitrary-code-execution_2024-058
- https://securityonline.info/cve-2024-4947-new-chrome-0-day-vulnerability-under-active-exploitation/
- https://chromereleases.googleblog.com/2024/05/stable-channel-update-for-desktop_15.html