Google ha revelado que una falla de seguridad que se parcheó como parte de una actualización de software implementada la semana pasada en su navegador Chrome ha sido explotada de forma activa.
Identificada como CVE-2024-7965, la vulnerabilidad ha sido descrita como un error de implementación inapropiado en el motor V8 de JavaScript y WebAssembly.
A un investigador de seguridad que utiliza el seudónimo en línea TheDog se le atribuye el descubrimiento y la denuncia de la falla el 30 de julio de 2024, lo que le valió una recompensa por el error de 11 000 dólares.
No se han publicado más detalles sobre la naturaleza de los ataques que explotan la falla o la identidad de los actores de amenazas que pueden estar utilizándola. Sin embargo, el gigante tecnológico reconoció que está al tanto de la existencia de un exploit para CVE-2024-7965.
También dijo que “se informó de una explotación in situ de CVE-2024-7965 […] después de este lanzamiento”. Dicho esto, actualmente no está claro si la falla se utilizó como arma de día cero antes de su divulgación la semana pasada.
Google ha abordado hasta ahora nueve días cero en Chrome desde principios de 2024, incluidos tres que se demostraron en Pwn2Own 2024:
CVE-2024-0519: acceso a memoria fuera de límites en V8
CVE-2024-2886: uso después de la liberación en WebCodecs (demostrado en Pwn2Own 2024)
CVE-2024-2887: confusión de tipos en WebAssembly (demostrado en Pwn2Own 2024)
CVE-2024-3159: acceso a memoria fuera de límites en V8 (demostrado en Pwn2Own 2024)
CVE-2024-4671: uso después de la liberación en Visuals
CVE-2024-4761: escritura fuera de límites V8
CVE-2024-4947 – Confusión de tipos en V8
CVE-2024-5274 – Confusión de tipos en V8
CVE-2024-7971 – Confusión de tipos en V8
Se recomienda encarecidamente a los usuarios que actualicen a la versión 128.0.6613.84/.85 de Chrome para Windows y macOS, y a la versión 128.0.6613.84 para Linux para mitigar posibles amenazas.
Info – Ciberseguridad Latam