Google lanzó este martes 16 de enero una actualización que corrige varias vulnerabilidades en el motor V8 de JavaScript utilizado por Chrome. Una de ellas es un zero-day de alta criticidad que,según el gigante tecnológico, está siendo activamente explotado.
Esta es la primera vulnerabilidad zero-day de Chrome en este 2024. A finales de diciembre Google solucionó otras que afectaban también al motor V8. En esta ocasión el fallo permite, mediante una página HTML manipulada, acceder a memoria fuera de los límites legítimos de alguna estructura de datos del programa.
Además de poder provocar una denegación de servicio, este error hace inefectiva la protección ASLR. El fallo facilita por tanto realizar ataques de buffer overflow que permitan ejecución de código remoto en los sistemas afectados. La ausencia de esta protección hace a la vulnerabilidad una candidata ideal para ser enlazada con otras y provocar que un equipo sea comprometido.
Catalogada como CVE-2024-0519, Google pospone la publicación de una explicación más detallada de la vulnerabilidad hasta que el parche haya sido aplicado por una mayoría de usuarios. La vulnerabilidad se encuentra corregida en las versiones 120.0.6099.224/225 de Windows, 120.0.6099.234 de macOS, y 120.0.6099.224 de Linux. Los navegadores Microsoft Edge, Brave, Opera y Vivaldi, basados en Chromium, también están afectados, por lo que es necesario aplicar las actualizaciones correspondientes cuando estén disponibles.
Fuente: Hipasec