Seguridad

Vulnerabilidad 0-day en Chrome explotada activamente

Google acaba de lanzar una actualización de su navegador Chrome para todas las plataformas (Windows, Mac y Linux), que corrige múltiples vulnerabilidades, incluyendo una vulnerabilidad 0-day que estaría siendo explotada activamente.

La vulnerabilidad de severidad alta, identificada como CVE-2021-30554, es del tipo UAF (Use-after-free, o uso de memoria después de liberación) y se encuentra en el módulo WebGL, una API Javascript para la representación de gráficos 3D en el propio navegador.

La explotación exitosa de este fallo podría dar lugar a la sobrescritura y corrupción de zonas de memoria, provocando potencialmente la ejecución remota de código en el equipo de la víctima. Estaríamos ante el octavo 0-day corregido por Google en lo que va de año.

Las otras tres vulnerabilidades corregidas estarían dentro de la misma categoría (UAF), aunque afectarían a otros componentes del navegador. No se tiene constancia, a día de hoy, de la existencia de exploits que se aprovechen de las mismas.

  • CVE-2021-30554: UAF en componente WebGL. Reportado anónimamente el 15 de junio de 2021
  • CVE-2021-30555: UAF en componente Sharing. Reportado por David Erceg el 01/06/2021
  • CVE-2021-30556: UAF en componente WebAudio. Reportado por Yangkang el 24/05/2021
  • CVE-2021-30557: UAF en componente TabGroups. Reportado por David Erceg el 23/04/2021

La empresa recomienda la actualización urgente a la versión 91.0.4472.114, que incorpora todas las correcciones.

Más información
https://thehackernews.com/2021/06/update-your-chrome-browser-to-patch-yet.html
https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop_17.html

La entrada Vulnerabilidad 0-day en Chrome explotada activamente se publicó primero en Una al Día.

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.