🚨0-day alert🚨Google publicó el martes una actualización del navegador web Chrome para Windows, Mac y Linux, con un total de siete correcciones de seguridad, incluyendo un fallo para el que dice que existe un exploit en la naturaleza. El fallo, denominado CVE-2021-21224, se refiere a una vulnerabilidad de confusión de tipo en el motor de JavaScript de código abierto V8, que fue notificada a la empresa por el investigador de seguridad José Martínez el 5 de abril. Según el investigador de seguridad Lei Cao, el fallo [1195777] se desencadena al realizar la conversión de tipos de datos enteros, lo que da lugar a una condición fuera de los límites que podría utilizarse para lograr una lectura/escritura arbitraria de la memoria primitiva. "Google es consciente de los informes de que existen exploits para CVE-2021-21224 en la naturaleza", dijo el Gerente del Programa Técnico de Chrome Srinivas Sista en una entrada de blog. La actualización se produce después de que el 14 de abril surgiera un código de prueba de concepto (PoC) que explotaba el fallo publicado por un investigador llamado "frust" aprovechando que el problema se abordaba en el código fuente de V8, pero el parche no estaba integrado en la base de código de Chromium ni en todos los navegadores que dependen de él, como Chrome, Microsoft Edge, Brave, Vivaldi y Opera. La brecha de una semana en el parche significaba que los navegadores eran vulnerables a los ataques hasta que los parches publicados en el repositorio de código abierto se publicaran como una actualización estable. Vale la pena señalar que Google redujo a la mitad la mediana de la "brecha de parches" de 33 días en Chrome 76 a 15 días en Chrome 78, que se lanzó en octubre de 2019, impulsando así correcciones de seguridad severas cada dos semanas. El último conjunto de correcciones también llega cerca de una actualización que el gigante de las búsquedas lanzó la semana pasada con parches para dos vulnerabilidades de seguridad CVE-2021-21206 y CVE-2021-21220, esta última demostrada en el concurso de hacking Pwn2Own 2021 a principios de este mes. Se espera que Chrome 90.0.4430.85 se despliegue en los próximos días. Los usuarios pueden actualizar a la última versión dirigiéndose a Configuración > Ayuda > Acerca de Google Chrome para mitigar el riesgo asociado a los fallos.
0 Comments
Leave a Reply. |
AutorCiberCracking Fecha
April 2021
Categoría |