Esta semana, Google solucionó siete vulnerabilidades en el navegador Chrome, incluidos dos problemas de día cero explotados por expertos durante la competencia de piratería Pwn2Own Vancouver 2024.
La primera vulnerabilidad, CVE-2024-2887, es un problema de confusión de tipos en WebAssembly (Wasm). Este error en primer día de Pwn2Own demostrado por el investigador Manfred Paul usándolo como parte de un exploit de ejecución remota de código (RCE) utilizando una página HTML maliciosa. El especialista utilizó este error tanto contra Chrome como contra Edge.
El segundo día 0 recibió el identificador CVE-2024-2886 y fue utilizado por los especialistas de KAIST Hacking Lab durante segundo día de Pwn2Own.
Este problema se describe como un error de uso después de la liberación en la API WebCodecs, que utilizan las aplicaciones web para codificar y decodificar contenido de audio y video. La vulnerabilidad permite a atacantes remotos realizar lectura/escritura arbitraria a través de páginas HTML maliciosas. CVE-2024-2886 también se utilizó para la ejecución remota de código en Google Chrome y Microsoft Edge.
Google Se corrigieron ambas vulnerabilidades. en la versión estable de Google Chrome: 123.0.6312.86/.87 para Windows y Mac y 123.0.6312.86 para usuarios de Linux, que se distribuirá a nivel mundial en los próximos días.
Recordemos que los desarrolladores anteriores de Mozilla también solucionaron dos vulnerabilidades de día cero en Firefox, descubiertas por Manfred Pohl: entrada fuera de límites (CVE-2024-29943) y escapar de la caja de arena (CVE-2024-29944).
Al mismo tiempo, Mozille tardó sólo un día en lanzar parches y Google cinco días, lo que es un resultado excelente. Por lo general, los proveedores tardan en publicar correcciones para los errores demostrados en Pwn2Own porque tienen 90 días antes de que los organizadores de Pwn2Own, la Iniciativa Zero Day de Trend Micro, revelen públicamente los detalles de las vulnerabilidades.
2024-03-28 18:20:35
#Chrome #corrigió #los #días #encontrados #Pwn2Own #Hacker,