La falla afecta a una vulnerabilidad de confusión de tipos en el motor JavaScript de código abierto V8

Google lanzó el martes una actualización para el navegador web Chrome para Windows, Mac y Linux, con un total de siete correcciones de seguridad, incluida una falla para la que dice que existe un exploit público.

Rastreada como CVE-2021-21224, la falla se refiere a una vulnerabilidad de confusión de tipos en el motor JavaScript de código abierto V8 que fue reportada a la compañía por el investigador de seguridad José Martínez el 5 de abril.

Según el investigador de seguridad Lei Cao, el error [1195777] se activa cuando se realiza la conversión de tipos de datos enteros, lo que da como resultado una condición fuera de límites que podría usarse para lograr una primitiva de lectura/escritura de memoria arbitraria.

"Google está al tanto de los informes de que existen exploits para CVE-2021-21224 en la naturaleza", dijo en una publicación de blog el gerente de programas técnicos de Chrome, Srinivas Sista.

Chrome exploit

La actualización se produce después de que el 14 de abril surgiera un código de prueba de concepto (PoC) que explotaba la falla publicada por un investigador llamado "frust" aprovechando el hecho de que el problema se abordó en el código fuente V8, pero el parche no se integró en la base de código de Chromium y en todos los navegadores que dependen de él, como Chrome, Microsoft Edge, Brave, Vivaldi y Opera.

La brecha de parches de una semana significaba que los navegadores eran vulnerables a los ataques hasta que los parches publicados en el repositorio de código de fuente abierta se publicaron como una actualización estable.

Vale la pena señalar que Google redujo a la mitad la mediana de la "brecha de parches" de 33 días en Chrome 76 a 15 días en Chrome 78, que se lanzó en octubre de 2019, impulsando así severas correcciones de seguridad cada dos semanas.

El último conjunto de correcciones también llega poco después de una actualización que el gigante de las búsquedas lanzó la semana pasada con parches para dos vulnerabilidades de seguridad CVE-2021-21206 y CVE-2021-21220, la última de las cuales se demostró en el concurso de pirateo Pwn2Own 2021 a principios de este mes.

Se espera que Chrome 90.0.4430.85 se despliegue en los próximos días. Los usuarios pueden actualizar a la última versión dirigiéndose a Configuración → Ayuda → Acerca de Google Chrome para mitigar el riesgo asociado con las fallas.

actualización de Chrome

Comments (0)

There are no comments posted here yet

Leave your comments

  1. Posting comment as a guest.
Attachments (0 / 3)
Share Your Location


Recibe gratis nuevos artículos por email:
Inicia sesión para suscribirte en Youtube

Somos apañados (ñ)
Suscribete

Más leído