CVE-2024-4947: Google soluciona otra vulnerabilidad 0-day en Chrome
La tercera vulnerabilidad de día cero en una semana. ¿Cuántos más fallos se descubrirán?
Google ha lanzado actualizaciones para corregir nueve vulnerabilidades en el navegador Chrome, incluyendo una nueva vulnerabilidad zero-day que está siendo activamente explotada. La vulnerabilidad ha recibido el identificador CVE-2024-4947 y está relacionada con un error de Type Confusion en el motor JavaScript V8 y WebAssembly.
El fallo fue descubierto por los investigadores Vasily Berdnikov y Boris Larin del Kaspersky el 13 de mayo de 2024. Las vulnerabilidades Type Confusion ocurren cuando un programa intenta acceder a un recurso con un tipo incompatible. Esto puede llevar a consecuencias graves como desbordamientos de búfer de memoria, cierres inesperados y ejecución de código arbitrario.
Este incidente es la tercera vulnerabilidad de día cero que Google ha parcheado en la última semana, después de CVE-2024-4671 y CVE-2024-4761. No se han revelado detalles adicionales sobre los ataques para prevenir un mayor abuso de la vulnerabilidad, aunque la compañía afirma que es consciente de la existencia y uso de exploits para CVE-2024-4947 en operaciones reales.
Incluyendo CVE-2024-4947, Google ha corregido siete vulnerabilidades de día cero en Chrome este año:
- CVE-2024-0519 — Desbordamiento de búfer en V8;
- CVE-2024-2886 — Use-After-Free en WebCodecs;
- CVE-2024-2887 — Error de type confusion en WebAssembly;
- CVE-2024-3159 — Desbordamiento de búfer en V8;
- CVE-2024-4671 — Use-After-Free en Visuals;
- CVE-2024-4761 — Escritura fuera de límites en V8.
Se recomienda a los usuarios de Chrome actualizarse a la versión 125.0.6422.60/.61 para mitigar los posibles riesgos. Además, los usuarios de otros navegadores basados en Chromium como Edge, Brave, Opera y Vivaldi deben aplicar las actualizaciones tan pronto como estén disponibles.
¿Estás cansado de que Internet sepa todo sobre ti?