Google Chrome Corrige Vulnerabilidades Zero Day

TEAM CSIRT

Google ha solventado 7 vulnerabilidades en su motor de búsqueda Chrome, entre las cuales se tiene dos vulnerabilidades catalogadas como Zero Day, mismas que fueron explotadas durante la competencia de hacking Pwn2Own Vancouver 2024.

A continuación, se detallan estas dos vulnerabilidades Zero Day:

  • CVE-2024-2887: Es una vulnerabilidad de severidad ALTA que aún no dispone de un CVSS, e implica una falla de Type Confusion dentro del estándar WebAssembly (Wasm). Esta falla podría permitir la ejecución de código remoto a través de una página HTML manipulada, logrando afectar tanto a los navegadores Chrome como Edge.
  • CVE-2024-2886: Es una vulnerabilidad de severidad ALTA que aún no dispone de un CVSS, e implica una falla de Use After Free (UAF) en la API de WebCodecs en Chrome. Esta falla podría permitir la lectura/escritura arbitraria a través de páginas HTML manipuladas, facilitando la ejecución de código remoto en navegadores como Chrome y Edge.

UAF es una vulnerabilidad relacionada con el uso incorrecto de la memoria dinámica durante la operación del programa.

Productos Afectados

  • Windows/macOS – versiones anteriores a 123.0.6312.86/.87 de Chrome.
  • Linux – versiones anteriores a 123.0.6312.86 de Chrome.

Solución:

Actualizar a la versión 123.0.6312.86/.87 para Windows/MacOS y 123.0.6312.86 para Linux, que abordan estas vulnerabilidades. Mantener el software actualizado es esencial para garantizar la seguridad y el rendimiento óptimo de su navegador.

Recomendaciones:

  • Actualizar todas las instancias de Google Chrome a la última versión para parchear las vulnerabilidades identificadas.
  • Evitar sitios web sospechosos o no confiables para minimizar el riesgo de encontrar páginas HTML maliciosas que puedan explotar estas vulnerabilidades.
  • Habilitar las actualizaciones automáticas en Google Chrome para garantizar la instalación oportuna de parches de seguridad.

Referencias: