Google Chrome corrige nuevas vulnerabilidades

Google ha lanzado una actualización de seguridad para su navegador web Chrome, corrigiendo varias vulnerabilidades, entre las cuales se encuentra una falla de Zero Day identificada como CVE-2024-3159. La misma fue explotada con éxito durante la reciente competencia de hacking Pwn2Own Vancouver 2024 por Edouard Bochin y Tao Yan de Palo Alto Networks.

• CVE-2024-3158 (CVSS 9.8): Esta vulnerabilidad de tipo uso después de la liberación (use-after-free – UAF) permite a los atacantes manipular la memoria del navegador al acceder a marcadores, lo que abre oportunidades para la ejecución de código arbitrario y el compromiso del navegador.

• CVE-2024-3159 (CVSS 9.6): Esta vulnerabilidad consiste en un acceso a memoria fuera de límites (out-of-bounds memory access) en el motor V8 JavaScript y WebAssembly. La misma permite a los atacantes acceder y manipular áreas de memoria más allá de los límites permitidos, dando paso a la ejecución de código arbitrario en el navegador, comprometiendo la seguridad y privacidad del usuario.

• CVE-2024-3156 (CVSS 8.8): Esta vulnerabilidad radica en una implementación inapropiada en el motor V8 de Chrome, lo que potencialmente permite la ejecución de código arbitrario. Los atacantes podrían aprovechar esto para realizar acciones maliciosas en los sistemas comprometidos.

Versiones afectadas:

• Todas las versiones de Google Chrome anteriores a la 123.0.6312.105/.106/.107 para Windows y Mac.
• Todas las versiones de Google Chrome anteriores a la 123.0.6312.105 para Linux.

Solución:

Google Chrome ha lanzado versiones actualizadas que solucionan las vulnerabilidades previamente descritas.

• Para Windows y Mac: Actualizar a la versión 123.0.6312.105/.106/.107 o superior.
• Para Linux: Actualizar a la versión 123.0.6312.105 o superior.

Recomendaciones:

• Instalar la última actualización de Chrome lo antes posible para mitigar los riesgos potenciales de las vulnerabilidades mencionadas.

• Activar las actualizaciones automáticas de Chrome para garantizar que el navegador esté siempre protegido contra las últimas amenazas.

• Permanecer atento a las actualizaciones de seguridad y los avisos de vulnerabilidad de Chrome para mantener el navegador seguro frente a amenazas conocidas.

Referencias:

• https://securityonline.info/cve-2024-3159-google-chrome-zero-day-exploit-demonstrated-at-pwn2own/?expand_article=1

• https://www.securityweek.com/google-patches-chrome-flaw-that-earned-hackers-42500-at-pwn2own/

• https://chromereleases.googleblog.com/2024/04/stable-channel-update-for-desktop.html