Provoca una falla de desbordamiento del búfer de pila
Google ha parcheado una vulnerabilidad de día cero en el navegador web Chrome para escritorio que dice que está siendo explotada activamente en la naturaleza.
La compañía lanzó la versión 88.0.4324.150 para Windows, Mac y Linux, con una solución para una falla de desbordamiento del búfer de pila (CVE-2021-21148) en su motor de renderizado V8 JavaScript.
"Google está al tanto de los informes de que existe un exploit activo para CVE-2021-21148", dijo la compañía en un comunicado.
Mattias Buelens informó a Google de la falla de seguridad el 24 de enero.
Anteriormente, el 2 de febrero, Google abordó seis problemas en Chrome, incluido un uso crítico después de la vulnerabilidad gratuita en Pagos (CVE-2021-21142) y cuatro problemas de alta gravedad en las funciones de Extensiones, Grupos de pestañas, Fuentes y Navegación.
Si bien es típico de Google limitar los detalles de la vulnerabilidad hasta que la mayoría de los usuarios se actualizan con la solución, el desarrollo llega semanas después de que Google y Microsoft revelaran los ataques llevados a cabo por piratas informáticos norcoreanos contra investigadores de seguridad con una elaborada campaña de ingeniería social para instalar una puerta trasera de Windows.
Con algunos investigadores infectados simplemente por visitar un falso blog de investigación en sistemas completamente parcheados que ejecutan Windows 10 y el navegador Chrome, Microsoft, en un informe publicado el 28 de enero, había insinuado que los atacantes probablemente aprovecharon un Chrome día cero para comprometer los sistemas.
Aunque no está claro de inmediato si se usó CVE-2021-21148 en estos ataques, el momento de las revelaciones y el hecho de que el aviso de Google salió exactamente un día después de que Buelens informara el problema implica que podrían estar relacionados.
En un artículo técnico separado, la empresa de ciberseguridad de Corea del Sur, ENKI, dijo que el grupo de piratas informáticos patrocinado por el estado norcoreano conocido como Lazarus hizo un intento infructuoso de atacar a sus investigadores de seguridad con archivos MHTML maliciosos que, cuando se abrían, descargaban dos cargas útiles de un servidor remoto, una de las cuales contenía un día cero contra Internet Explorer.
"La carga útil secundaria contiene el código de ataque que ataca la vulnerabilidad del navegador Internet Explorer", dijeron los investigadores de ENKI.
Vale la pena señalar que el año pasado Google arregló cinco días cero de Chrome que fueron explotados activamente en la naturaleza en un lapso de un mes entre el 20 de octubre y el 12 de noviembre.