Exactamente un mes después de parchear una falla de día cero explotada activamente en Chrome, Google lanzó hoy correcciones para otra vulnerabilidad de día cero en el navegador web más popular del mundo que, según dice, está siendo abusado en la naturaleza.
Chrome 89.0.4389.72, lanzado por el gigante de las búsquedas para Windows, Mac y Linux el martes, viene con un total de 47 correcciones de seguridad, la más grave de las cuales se refiere a un «problema del ciclo de vida de los objetos en el audio».
Rastreada como CVE-2021-21166, la falla de seguridad es uno de los dos errores de seguridad reportados el mes pasado por Alison Huffman de Microsoft Browser Vulnerability Research el 11 de febrero. Se informó a Google de una falla separada en el ciclo de vida del objeto, también identificada en el componente de audio. el 4 de febrero, el mismo día en que estuvo disponible la versión estable de Chrome 88.
Sin detalles adicionales, no está claro de inmediato si las dos deficiencias de seguridad están relacionadas.
Google reconoció que existe un exploit para la vulnerabilidad en la naturaleza, pero no llegó a compartir más detalles para permitir que la mayoría de los usuarios instalen las correcciones y evitar que otros actores de amenazas creen exploits dirigidos a este día cero.
«Google es consciente de los informes de que un exploit para CVE-2021-21166 existe en la naturaleza,» Programa de cromo director técnico Prudhvikumar Bommana dijo .
Esta es la segunda falla de día cero en Chrome que Google ha abordado desde principios de año.
El 4 de febrero, la compañía emitió una solución para una falla de desbordamiento de búfer de pila explotada activamente (CVE-2021-21148) en su motor de renderizado V8 JavaScript.
Además, el año pasado Google resolvió cinco días cero de Chrome que fueron explotados activamente en la naturaleza en un lapso de un mes entre el 20 de octubre y el 12 de noviembre.
Los usuarios de Chrome pueden actualizar a Chrome 89 dirigiéndose a Configuración> Ayuda> Acerca de Google Chrome para mitigar el riesgo asociado con la falla.
Fuente: https://thehackernews.com/2021/03/new-chrome-0-day-bug-under-active.html
