Las correcciones de Google aprovechadas el día cero de Chrome se lanzaron en Twitter la semana pasada

Las correcciones de Google aprovechadas el día cero de Chrome se lanzaron en Twitter la semana pasada

Google lanzó Chrome 90.0.4430.85 para abordar una vulnerabilidad de seguridad de día cero explotada activamente y otras cuatro vulnerabilidades de seguridad de alta gravedad que afectan al navegador web más popular de la actualidad.

La versión lanzada el 20 de abril de 2021 en el canal de escritorio estable para usuarios de Windows, Mac y Linux se implementará para todos los usuarios en las próximas semanas.

"Google está al tanto de los informes de que hay exploits para CVE-2021-21224 en circulación", anunció la compañía. ley.

Índice()

    PoC salió a la luz en Twitter, el día cero se solucionó una semana después

    Google no compartió ningún detalle sobre el día cero más que describirlo como una "confusión de tipo en V8" y decir que fue informado por José Martínez de VerSprite Inc.

    Sin emabargo, Martinez vinculado a un exploit de prueba de concepto (PoC) compartido públicamente en Twitter hace una semana después de su informe inicial sobre el Programa de Recompensas por Vulnerabilidad de Chrome del 5 de abril.

    Los atacantes no pueden aprovechar esta vulnerabilidad de ejecución remota de código para escapar de la zona de pruebas de seguridad de Chromium (una función de seguridad diseñada para evitar que los exploits accedan a archivos o ejecuten código en las computadoras host).

    Sin embargo, se puede encadenar fácilmente con otro error de seguridad que puede permitir que el exploit escape de la caja de arena y ejecute código arbitrario en los sistemas de los usuarios específicos.

    El PoC de día cero para CVE-2021-21224 se eliminó en Twitter un día después de que Google lanzó Chrome 89.0.4389.128 para corregir otro error de día cero con un exploit de PoC compartido públicamente dos días antes.

    No hay detalles sobre los ataques de día cero en especie.

    Aunque Google afirma estar al tanto de la explotación activa de CVE-2020-16009, la compañía no ha proporcionado ninguna información sobre los actores de amenazas detrás de estos ataques.

    "El acceso a los detalles de los errores y los enlaces se puede restringir hasta que la mayoría de los usuarios se actualicen con una solución", dijo Google.

    "Mantendremos las restricciones incluso si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero aún no se han corregido".

    Google solucionó otras tres vulnerabilidades de alta gravedad en Chrome 90.0.4430.85:

    • CVE-2021-21222: desbordamiento del búfer de pila en V8. Reportado por Guang Gong de Alpha Lab, Qihoo 360 el 30 de marzo de 2021
    • CVE-2021-21223: Desbordamiento de enteros en Mojo. Reportado por Guang Gong de Alpha Lab, Qihoo 360 el 2021-04-02
    • CVE-2021-21225: Acceso a memoria fuera de los límites en V8. Reportado por Brendon Tiszka (@btiszka) en apoyo de la EFF el 2021-04-05
    • CVE-2021-21226: Úselo después de la navegación gratuita. Informado por Brendon Tiszka (@btiszka) en apoyo de la EFF en 2021-04

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir