Google acaba de lanzar una actualización de su navegador Chrome para todas las plataformas (Windows, Mac y Linux), que corrige múltiples vulnerabilidades, incluyendo una vulnerabilidad 0-day que estaría siendo explotada activamente.
La vulnerabilidad de severidad alta, identificada como CVE-2021-30554, es del tipo UAF (Use-after-free, o uso de memoria después de liberación) y se encuentra en el módulo WebGL, una API Javascript para la representación de gráficos 3D en el propio navegador.
La explotación exitosa de este fallo podría dar lugar a la sobrescritura y corrupción de zonas de memoria, provocando potencialmente la ejecución remota de código en el equipo de la víctima. Estaríamos ante el octavo 0-day corregido por Google en lo que va de año.
Las otras tres vulnerabilidades corregidas estarían dentro de la misma categoría (UAF), aunque afectarían a otros componentes del navegador. No se tiene constancia, a día de hoy, de la existencia de exploits que se aprovechen de las mismas.
- CVE-2021-30554: UAF en componente WebGL. Reportado anónimamente el 15 de junio de 2021
- CVE-2021-30555: UAF en componente Sharing. Reportado por David Erceg el 01/06/2021
- CVE-2021-30556: UAF en componente WebAudio. Reportado por Yangkang el 24/05/2021
- CVE-2021-30557: UAF en componente TabGroups. Reportado por David Erceg el 23/04/2021
La empresa recomienda la actualización urgente a la versión 91.0.4472.114, que incorpora todas las correcciones.
Más información
https://thehackernews.com/2021/06/update-your-chrome-browser-to-patch-yet.html
https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop_17.html
