Google parchea su quinta vulnerabilidad de día cero del año en Chrome
Google ha actualizado su navegador Chrome para parchear una vulnerabilidad de día cero de alta gravedad que permite a los atacantes ejecutar código malicioso en los dispositivos de los usuarios finales. La solución marca la quinta vez este año que la compañía actualiza el navegador para proteger a los usuarios de un exploit malicioso existente.
La vulnerabilidad, rastreada como CVE-2024-4671, es un “uso después de la liberación”, una clase de error que ocurre en los lenguajes de programación basados en C. En estos lenguajes, los desarrolladores deben asignar el espacio de memoria necesario para ejecutar determinadas aplicaciones u operaciones. Lo hacen utilizando “punteros” que almacenan las direcciones de memoria donde residirán los datos requeridos. Debido a que este espacio es finito, las ubicaciones de memoria se deben desasignar una vez que la aplicación u operación ya no las necesite.
Los errores de uso después de la liberación ocurren cuando la aplicación o el proceso no logra borrar el puntero después de liberar la ubicación de la memoria. En algunos casos, el puntero a la memoria liberada se utiliza nuevamente y apunta a una nueva ubicación de memoria que almacena un código shell malicioso colocado por un exploit de un atacante, una condición que resultará en la ejecución de este código.
El jueves, Google dicho una fuente anónima le notificó la vulnerabilidad. La vulnerabilidad tiene una calificación de gravedad de 8,8 sobre 10. En respuesta, Google dijo que lanzaría las versiones 124.0.6367.201/.202 para macOS y Windows y 124.0.6367.201 para Linux en los días siguientes.
“Google es consciente de que existe un exploit para CVE-2024-4671”, dijo la compañía.
Google no proporcionó más detalles sobre el exploit, como qué plataformas estaban dirigidas, quién estaba detrás del exploit o para qué lo estaban usando.
Contando esta última vulnerabilidad, Google ha solucionado cinco días cero en Chrome en lo que va de año. Tres de los anteriores fueron utilizados por investigadores en el concurso de exploits Pwn-to-Own. El restante era por una vulnerabilidad para la cual había un exploit disponible en la naturaleza.
Chrome se actualiza automáticamente cuando hay nuevas versiones disponibles. Los usuarios pueden forzar la actualización o confirmar que están ejecutando la última versión yendo a Configuración > Acerca de Chrome, verificando la versión y, si es necesario, haciendo clic en el botón Reiniciar.