La firma de tecnologías Google ha liberado una nueva versión de Chrome, 88.0.4324.150 que solventó una vulnerabilidad de seguridad de día cero explotada activamente. La falla fue calificada por Google como de alta gravedad, fue reportada por Mattias Buelens el 24 de enero de 2021. La vulnerabilidad es un desbordamiento del búfer de pila que reside en el V8, que es un motor de JavaScript y WebAssembly de código abierto.
“Google está al tanto de los informes de que existe un exploit para CVE-2021-21148 en estado salvaje. También nos gustaría agradecer a todos los investigadores de seguridad que trabajaron con nosotros durante el ciclo de desarrollo para evitar que los errores de seguridad lleguen al canal estable «.
Google
Google no compartió detalles sobre los atacantes y sus tácticas.
«El acceso a los detalles de los errores y los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución» Google agrega. «También mantendremos restricciones si el error existe en una biblioteca de terceros de la que otros proyectos dependen de manera similar, pero que aún no se han solucionado».
En un momento un poco interesante, CVE-2021-21148 fue revelado a Google solo un día antes de una revelación masiva de Google. El 25 de enero, el Threat Analysis Group de Google publicó una entrada de blog en la que se detallaba el descubrimiento de una campaña en curso llevada a cabo por actores del estado-nación para identificar a los investigadores de seguridad interesados en colaborar en la investigación de vulnerabilidades. El informe menciona específicamente que los actores de amenazas hicieron circular un enlace a sus posibles víctimas a un sitio web malicioso que condujo a una explotación exitosa en sistemas que estaban completamente parcheados tanto para Windows como para Google Chrome. Esto fue corroborado por Microsoft, que publicó su propia publicación de blog sobre los ataques, suponiendo que probablemente se utilizó Google Chrome de día cero para apuntar a los investigadores.
Se recomienda a los usuarios finales que actualicen su navegador Google Chrome a la última versión disponible, en sus diferentes plataformas de escritorio: Windows, Mac y Linux.
Referencia: