Google va llançar aquest dimarts 16 de gener una actualització que corregeix diverses vulnerabilitats al motor V8 de JavaScript utilitzat per Chrome. Una d’elles és un zero-day d’alta criticitat que,segons el gegant tecnològic, està sent activament explotat.
Aquesta és la primera vulnerabilitat zero-day de Chrome aquest 2024. A finals de desembre Google en va solucionar d’altres que afectaven també el motor V8. En aquesta ocasió la decisió permet, mitjançant una pàgina HTML manipulada, accedir a memòria fora dels límits legítims d’ alguna estructura de dades del programa.
A més de poder provocar una denegació de servei, aquest error fa inefectiva la protecció ASLR. La decisió facilita per tant realitzar atacs de buffer overflow que permetin execució de codi remot en els sistemes afectats. L’absència d’aquesta protecció fa a la vulnerabilitat una candidata ideal per ser enllaçada amb d’altres i provocar que un equip sigui compromès.
Catalogada com a CVE-2024-0519, Google posposa la publicació d’una explicació més detallada de la vulnerabilitat fins que el parxís hagi estat aplicat per una majoria d’usuaris. La vulnerabilitat es troba corregida en les versions 120.0.6099.224/225 de Windows, 120.0.6099.234 de macOS, i 120.0.6099.224 de Linux. Els navegadors Microsoft Edge, Brave, Opera i Vivaldi, basats en Chromium, també estan afectats, per la qual cosa és necessari aplicar les actualitzacions corresponents quan estiguin disponibles.
Font: Hipasec