By Victor Duda
La publicación advierte que no debe esperar a que el navegador se actualice automáticamente y recomienda que los usuarios instalen la actualización de inmediato. Para asegurarse de que la actualización esté instalada, debe cerrar y reiniciar Chrome. Debe tenerse en cuenta que las dos primeras vulnerabilidad pueden tocar varios navegadores web utilizando Chromium-Google Chrome, Microsoft Edge y Opera.
La primera advertencia de Chrome "Actualización ahora" fue el 9 de mayo, cuando Google advirtió que sabía sobre la existencia de la vulnerabilidad CV-2024-4947. Era el problema de uso después de la liberación, cuando no se eliminan los indicadores para la memoria liberada y, por lo tanto, pueden ser abusados. Los atacantes pueden usar UAF para transmitir un código arbitrario (o referencia a él) al programa y ir al inicio del código con el índice "colgante".
Por lo tanto, realizar un código dañino puede permitir que el delito cibernético obtenga el control sobre el sistema de víctimas. El 13 de mayo, la vulnerabilidad de CVE-2024-4761 obligó a Google a advertir sobre la amenaza. Esta vez fue una vulnerabilidad de la memoria que va más allá, lo que toca el JavaScript dos del Chrome V8. Los problemas de este tipo permiten al atacante atacar a Chrome con páginas HTML dañinas.
Dicha vulnerabilidad puede conducir a la divulgación de información confidencial, así como al riesgo de falla del sistema o software que puede permitir que el atacante acceda a estos datos. El 15 de mayo, Google advirtió que la vulnerabilidad de CV-2024-4947 condujo a otro problema de memoria: la vulnerabilidad de la "confusión de tipo", que es atacada por usuarios con el HTML creado.
El tipo de confusión ocurre cuando el software intenta acceder a recursos incompatibles sin pasar por el sistema de seguridad. Toda esta vulnerabilidad puede desestabilizar un navegador o dispositivo, pero también se puede usar para iniciar otras expresiones. Los tres vulnerabilidad ya se han agregado a la CISA, un catálogo de vulnerabilidades bien conocidas (KEV) de la Agencia de Seguridad y Seguridad Cibernética de EE. UU.
Español
Українська
English
USA
Français
Deutsch
Italiano
Polski
Čeština
Slovensku
