Google corrige zero-day de Chrome que está siendo explotado activamente
Google ha lanzado la versión 91.0.4472.114 de Chrome para Windows, Mac y Linux para corregir cuatro vulnerabilidades de seguridad. Una de estas vulnerabilidades de tipo zero-day (día cero) es de alta gravedad y está siendo explotada en el entorno.
Esta versión, lanzada el 17 de junio de 2021, para el canal de escritorio estable, ha comenzado a implementarse en todo el mundo. La nueva versión estará disponible para todos los usuarios en los próximos días.
Google Chrome intentará actualizar automáticamente el navegador la próxima vez que inicies el programa. No obstante, puedes realizar una actualización manual yendo a Ayuda> ‘Información de Google Chrome’.
No hay detalles sobre los ataques de día cero en el entorno
“Google es consciente de que existe un exploit para CVE-2021-30554 en estado activo”.
Anuncio de la compañía.
El día cero se debe a un uso posterior en una vulnerabilidad en la API de JavaScript WebGL (Biblioteca de gráficos web) utilizada por los navegadores web Chrome. Chrome usa esta API para representar gráficos interactivos en 2D y 3D sin usar complementos.
La explotación exitosa de esta vulnerabilidad podría llevar a la ejecución de código arbitrario en computadoras que ejecutan versiones de Chrome sin parches.
Aunque Google dice que está al tanto de CVE-2021-30554 está siendo explotado activamente. Sin embargo, no compartió información sobre estos ataques.
“El acceso a los detalles de las vulnerabilidades y los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución”.
“También mantendremos las restricciones si la vulnerabilidad existe en una biblioteca de terceros de la que otros proyectos dependen de manera similar, pero que aún no se han solucionado”.
Google corrigió las tres vulnerabilidades de más alta gravedad en los componentes Sharing, WebAudio y TabGroups de Chrome. Estas vulnerabilidades han sido identificadas como CVE-2021-30555, CVE-2021-30556 y CVE-2021-30557.
Séptimo día cero de Chrome explotado activamente en el entorno este año
La actualización de hoy corrige la séptima vulnerabilidad de día cero de Google Chrome explotada en ataques de este año. Las otras seis vulnerabilidades te las mencionamos a continuación:
- CVE-2021-21148 – 4 de febrero de 2021
- CVE-2021-21166 – 2 de marzo de 2021
- CVE-2021-21193 – 12 de marzo de 2021
- CVE-2021-21220 – 13 de abril de 2021
- CVE-2021-21224 – 20 de abril de 2021
- CVE-2021-30551 – 9 de junio de 2021
Además de estos días cero, Kaspersky informó que un grupo de actores de amenazas conocido como Puzzlemaker está encadenando errores de día cero de Chrome. Los atacantes los están utilizando para evadir la zona de pruebas del navegador e instalar malware en los sistemas Windows.
Una vez que los atacantes han utilizado tanto los exploits de Chrome como de Windows para entrar en el sistema objetivo, el módulo de transición descarga y ejecuta un dropper de malware más complejo desde un servidor remoto. Kaspersky.
Project Zero, el equipo de búsqueda de errores de día cero de Google, también reveló una operación a gran escala. En dicha operación un grupo de ciberdelincuentes utilizó 11 días cero para atacar a los usuarios de Windows, iOS y Android en un solo año.