Hace apenas unos días se publicaba que Google había lanzado un parche de emergencia para un zero-day en Chrome. Y nuevamente se repite la noticia: esta vez con 2 nuevas vulnerabilidades de día cero que afectan al navegador de Google y están siendo activamente explotadas.
Las 2 vulnerabilidades zero-day parcheadas son las siguientes:
- CVE-2021-37975: un error de uso de memoria previamente liberada en el motor V8 que podría llevar a la ejecución de código arbitrario en el contexto del navegador. Está clasificada como de alta gravedad.
- CVE-2021-37976: un problema de fuga de información en el núcleo. A Clément Lecigne de Google TAG, junto a Sergei Glazunov y Mark Brand de Google Project Zero, corresponde el descubrimiento de este fallo de seguridad clasificado como de gravedad media.
Se tiene constancia de la existencia de exploits para estas vulnerabilidades y de estar siendo explotadas activamente. Además, habría que sumar errores mencionados anteriormente en Una Al Día que fueron corregidos en otro reciente parche.
Además de las dos anteriores, se ha corregido un error en Safe Browsing debido al uso de memoria previamente liberada que también podría permitir la ejecución de código. Esta vulnerabilidad de alta gravedad, identificada como CVE-2021-37974, ha sido descubierta por Weipeng Jiang (cuyo nick es Krace) del equipo Codesafe de Legendsec en Qi’anxin Group y le ha proporcionado una recompensa de $20,000.
El gigante de Internet ha parcheado todas las vulnerabilidades mencionadas anteriormente en la versión 94.0.4606.71 de su navegador Chrome para Microsoft Windows, Mac y GNU/Linux.
Más información:
Google Chrome releases: Stable Channel Update for Desktop
https://chromereleases.googleblog.com/2021/09/stable-channel-update-for-desktop_30.html
Google lanza un emergency patch para un zero-day de Google Chrome
https://unaaldia.hispasec.com/2021/09/google-lanza-un-emergency-patch-para-un-zero-day-de-google-chrome.html
