Vulnerabilidad 0day en Chrome explotada activamente

Alertas

Google acaba de lanzar una actualización de su navegador Chrome para todas las plataformas (Windows, Mac y Linux), que corrige múltiples vulnerabilidades, incluyendo una vulnerabilidad 0-day que estaría siendo explotada activamente.


La vulnerabilidad de severidad alta, identificada como CVE-2021-30554, es del tipo UAF (Use-after-free, o uso de memoria después de liberación) y se encuentra en el módulo WebGL, una API Javascript para la representación de gráficos 3D en el propio navegador.

La explotación exitosa de este fallo podría dar lugar a la sobrescritura y corrupción de zonas de memoria, provocando potencialmente la ejecución remota de código en el equipo de la víctimaEstaríamos ante el octavo 0-day corregido por Google en lo que va de año.

Las otras tres vulnerabilidades corregidas estarían dentro de la misma categoría (UAF), aunque afectarían a otros componentes del navegador. No se tiene constancia, a día de hoy, de la existencia de exploits que se aprovechen de las mismas.

  • CVE-2021-30554: UAF en componente WebGL. Reportado anónimamente el 15 de junio de 2021
  • CVE-2021-30555: UAF en componente Sharing. Reportado por David Erceg el 01/06/2021
  • CVE-2021-30556: UAF en componente WebAudio. Reportado por Yangkang el 24/05/2021
  • CVE-2021-30557: UAF en componente TabGroups. Reportado por David Erceg el 23/04/2021

La empresa recomienda la actualización urgente a la versión 91.0.4472.114, que incorpora todas las correcciones.

Más información
https://thehackernews.com/2021/06/update-your-chrome-browser-to-patch-yet.html
https://chromereleases.googleblog.com/2021/06/stable-channel-update-for-desktop_17.html


Etiquetado en: Google 0-day UAF CVE-2021-30554

Junio 18, 2021 09:44 AM
Fuente: unaaldia.hispasec.com
Publicado por: Cecilia Coria