Descripción
Google ha lanzado una actualización de seguridad de emergencia para su navegador web Chrome para corregir una vulnerabilidad de alta gravedad que está siendo explotada activamente por atacantes.
La falla de día cero, rastreada como CVE-2024-4947, es un error de confusión de tipos en el motor JavaScript V8 que podría permitir ataques de ejecución remota de código.
Un error de confusión de tipos en el motor JavaScript V8 se refiere a una vulnerabilidad donde el motor interpreta incorrectamente el tipo de un objeto, lo que lleva a errores lógicos y potencialmente permite a los atacantes ejecutar código arbitrario.
Este tipo de vulnerabilidad es particularmente peligrosa porque puede ser explotada para causar corrupción de la memoria heap mediante la creación de una página HTML específica que desencadene el error, comprometiendo así la seguridad del navegador y del sistema subyacente.
Chrome 125.0.6422.60 para Linux y 125.0.6422.60/.61 para Windows y Mac traen varias correcciones y mejoras al popular navegador web. El registro de lanzamientos oficial proporciona una lista completa de los cambios.
Estado: Crítico
Remediación:
Los investigadores de seguridad Vasily Berdnikov y Boris Larin de Kaspersky descubrieron la vulnerabilidad el 13 de mayo y la reportaron a Google.
“Google es consciente de un exploit para CVE-2024-4947 y urge a los usuarios a actualizar sus navegadores lo antes posible.”
Si bien Chrome se actualizará automáticamente para la mayoría de los usuarios, Google insta a todos los usuarios de Chrome en Windows, Mac y Linux a asegurarse de que están ejecutando la versión 125.0.6422.60 o posterior verificando manualmente las actualizaciones.
Otras correcciones de seguridad Además del parche de día cero, la actualización de Chrome 125 incluye otras 8 correcciones de seguridad:
- CVE-2024-4948 (Alta) – Uso después de liberación en Dawn, reportado por wslfuzz
- CVE-2024-4949 (Media) – Uso después de liberación en V8, reportado por Ganjiang Zhou
- CVE-2024-4950 (Baja) – Implementación inapropiada en Descargas, reportado por Shaheen Fazim
- Varias otras correcciones de auditorías internas y fuzzing
Google ha restringido el acceso a los detalles de los errores hasta que la mayoría de los usuarios hayan actualizado Chrome. La compañía agradeció a todos los investigadores externos, así como a sus equipos de seguridad internos, por sus contribuciones a esta versión.
Para mayor información acceder a:
/*! elementor - v3.21.0 - 26-05-2024 */ .elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=“.svg”]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}