Vulnerabilidad día cero en Google Chrome está siendo explotada en escenarios reales. Actualice ahora

Google anunció el lanzamiento de una nueva actualización para el navegador web Chrome. La versión 91.0.4472.164 estará disponible para sistemas Windows, Mac y Linux y aborda siete fallas severas, incluyendo una vulnerabilidad día cero considerada crítica y que ya ha sido explotada en escenarios reales.

La falla, identificada como CVE-2021-30563 fue descrita como un problema de confusión de tipos que afecta al motor V8 JavaScript y WebAssembly: “Estamos al tanto de la existencia de un exploit día cero para una vulnerabilidad en escenarios reales”, menciona el reporte de la compañía.

Sobre esta clase de errores, especialistas mencionan que su explotación podría resultar en el abuso de múltiples fallas basadas en el navegador debido a un desbordamiento de búfer; este ataque incluso podría permitir la ejecución de código arbitrario.

La vulnerabilidad día cero fue detectada por Sergei Glazunov, de Google Project Zero, aunque no se compartieron mayores detalles sobre la explotación de esta falla. A continuación se presenta un listado de todas las fallas abordadas por la última actualización de Chrome:

  • CVE-2021-30559: Escritura fuera de límites en ÁNGULO
  • CVE-2021-30541: Usar después gratis en V8
  • CVE-2021-30560: Úselo después de forma gratuita en Blink XSLT
  • CVE-2021-30561: Confusión de tipos en V8
  • CVE-2021-30562: usar después de gratis en WebSerial
  • CVE-2021-30563: Confusión de tipos en V8
  • CVE-2021-30564: desbordamiento del búfer de pila en WebXR

Por el momento no se conocen detalles adicionales sobre las fallas y los grupos de hacking asociados a su explotación activa, esto con la finalidad de que otros grupos de hackers no aprendan a abusar de la falla. De cualquier forma, se recomienda a los usuarios de Chrome en los diversos sistemas operativos actualizar el navegador web a la versión segura lanzada por Google antes de que sea tarde.

Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).