La vulnerabilidad supone el tercer 0-day de Google Chrome en los últimos 3 meses. Su explotación podría permitir la ejecución remota de código.

Google ha publicado recientemente una nueva versión de Chorme, 89.0.4389.90, que incluye parches para 5 vulnerabilidades de severidad alta.

Los detalles de dichos fallos aún no están disponibles al público, siguiendo la política de la empresa de imponer restricciones hasta que la mayoría de usuarios hayan actualizado a versiones seguras. Destacan las siguientes, reportadas por investigadores externos a las compañía:

  • CVE-2021-21191: UaF (uso de memoria después de su liberación) en WebRTC
  • CVE-2021-21192: Desbordamiento del heap en la implementación de grupos de pestañas.
  • CVE-2021-21193: UaF en Blink, motor HTML utilizado por Chrome/Chromium.

En la publicación, Google advierte que la vulnerabilidad con CVE-2021-21193 está siendo explotada activamente, por lo que insta a los usuarios a actualizar a la mayor brevedad posible.

El navegador ha sido objeto reciente de varias vulnerabilidades similares, que han podido ser explotadas antes de la publicación de la correspondiente actualización de seguridad. Si bien el navegador se actualiza de manera automática en muchos casos, conviene cerciorarse de que, en efecto, estamos utilizando una versión segura hasta la fecha.

Referencias
https://threatpost.com/google-mac-windows-chrome-zero-day/164759/
https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop_12.html

La entrada Nueva vulnerabilidad 0-day en Google Chrome se publicó primero en Una al Día.