En las últimas semanas, Google lanzó nuevas actualizaciones para el navegador Google Chrome y corrigió una serie de vulnerabilidades que es importante parchear.
En total, ya son once las vulnerabilidades corregidas en Chrome durante 2024, de las cuales siete fueron zero-day. Afectan a Google Chrome —el más apuntado por cibercriminales— y potencialmente a otros navegadores basados en Chromium que también es recomendable actualizar.
Tres vulnerabilidades zero day solo este mes
En principios de mayo se habían lanzado las correcciones de las vulnerabilidades zero-day CVE-2024-4947, CVE-2024-4671 y CVE-2024-4761. En todos los casos, Google confirmó que está al tanto de los reportes que indican su explotación activa.
En el caso de la CVE-2024-4947, es una vulnerabilidad de alta severidad del tipo type confusion en el motor V8 de JavaScript y WebAssembly que utiliza el navegador. Permite a un atacante remoto ejecutar código arbitrario dentro de un sandbox mediante el envío de una página HTML especialmente diseñada.
La semana previa, la compañía había lanzado un parche para corregir la CVE-2024-4671 y la CVE-2024-4761. La primera se trata de una falla del tipo use after free en el componente Visual y la segunda de un error de escritura out of bounds en el motor JavaScript V8
La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos añadió estas vulnerabilidades a su catálogo de vulnerabilidades explotadas conocidas que se basa en la evidencia del uso de estos fallos por actores maliciosos.
Otras vulnerabilidades zero-day corregidas en Google Chrome durante este año
A continuación, compartimos el detalle de las otras vulnerabilidades zero-days corregidas este año por Google.
-CVE-2024-0519: vulnerabilidad descubierta en enero de 2024 que afecta a otros navegadores basados en Chromium y que puede ser aprovechada mediante páginas HTML especialmente diseñadas.
-CVE-2024-2887: vulnerabilidad del tipo type confusion de alta gravedad en el estándar WebAssembly (Wasm). La misma podría dar lugar a exploits de ejecución remota de código aprovechando páginas HTML especialmente diseñadas.
-CVE-2024-2886: Vulnerabilidad del tipo use after free en la API de WebCodecs, la cual es utilizada por las aplicaciones web para codificar y decodificar audio y vídeo. Este fallo podría ser aprovechado para realizar ataques de escritura o lectura arbitraria de código en el equipo de la víctima mediante páginas HTML especialmente elaboradas.
-CVE-2024-3159: es una vulnerabilidad de alta severidad que permite lectura out of bounds en el motor V8 de Chrome. Un atacante remoto podría aprovecharla para acceder a los datos más allá del búfer de memoria asignado y así extraer información confidencial.
¿Cómo actualizar el sistema?
Las nuevas versiones se implementarán automáticamente en los próximos días (125.0.6422.60/.61 para Mac/Windows y 125.0.6422.60 para Linux).
Puedes chequear si tu navegador está actualizado ingresando a la sección “Ayuda/ Acerca de…”, que se encuentra haciendo clic en los tres puntos de lado derecho superior de la pantalla, en todos los navegadores basados en Chromium.
Consejos de Seguridad
Es importante actualizar tu navegador regularmente para asegurarte de contar con los parches de seguridad que corrigen vulnerabilidades que podrían ser explotadas por los cibercriminales para acceder a tu información personal o tomar el control de tu dispositivo.
Adicionalmente, recuerda mantener tus contraseñas fuertes y únicas para cada sitio o servicio online; habilitar la autenticación de dos factores; Mantener actualizado el software y contar con una solución antimalware.
