Google ha lanzado Chrome 95.0.4638.69 para Windows, Mac y Linux para corregir dos vulnerabilidades de día cero que los atacantes han explotado activamente.
«Google es consciente de que los exploits para CVE-2021-38000 y CVE-2021-38003 existen en la naturaleza», reveló Google en la lista de correcciones de seguridad en la versión de hoy de Google Chrome.
Si bien Google afirma que la nueva versión puede tardar un tiempo en llegar a todos, la actualización ya comenzó a implementar Chrome 95.0.4638.69 para usuarios de todo el mundo en el canal de escritorio estable.
Para instalar la actualización de Chrome inmediatamente, vaya al menú de Chrome > Ayuda > Acerca de Google Chrome , y el navegador comenzará a realizar la actualización.
Google Chrome también buscará actualizaciones disponibles y las instalará la próxima vez que inicie el navegador web.
Los detalles de los ataques de día cero no se revelan
Esta versión de Chrome corrige un total de siete vulnerabilidades, dos de las cuales son días cero que se sabe que han sido explotadas en la naturaleza.
El primer día cero, registrado como CVE-2021-38000 , se describe como una «validación insuficiente de entrada no confiable en Intents» y se le asignó un nivel de gravedad alto. Esta vulnerabilidad fue descubierta por Clement Lecigne, Neel Mehta y Maddie Stone de Google Threat Analysis Group el 15 de septiembre de 2021.
El segundo día cero, registrado como CVE-2021-38003 , es un error de «Implementación inapropiada» de alta gravedad en el motor de JavaScript Chrome V8. Esta vulnerabilidad también fue descubierta por Lecigne y reportada el 24 de octubre.
En este momento, Google o los investigadores no han proporcionado más detalles sobre cómo los actores de amenazas utilizaron las vulnerabilidades en los ataques. Sin embargo, a medida que Google descubrió las vulnerabilidades, es posible que aprendamos más en informes futuros de Google TAG o Project Zero.
Como estas dos vulnerabilidades se han utilizado en ataques, se sugiere que todos los usuarios de Chrome realicen una actualización manual o reinicien su navegador para instalar la última versión.
Decimoquinto día cero fijado este año
Con estas correcciones, Google ha parcheado 15 vulnerabilidades de día cero de Chrome desde principios de 2021.
Los otros trece días cero parcheados este año se enumeran a continuación:
- CVE-2021-21148 – 4 de febrero de 2021
- CVE-2021-21166 – 2 de marzo de 2021
- CVE-2021-21193 – 12 de marzo de 2021
- CVE-2021-21220 – 13 de abril de 2021
- CVE-2021-21224 – 20 de abril de 2021
- CVE-2021-30551 – 9 de junio de 2021
- CVE-2021-30554 – 17 de junio de 2021
- CVE-2021-30563 – 15 de julio de 2021
- CVE-2021-30632 y CVE-2021-30633 – 13 de septiembre
- CVE-2021-37973 – 24 de septiembre de 2021
- CVE-2021-37976 y CVE-2021-37975 – 30 de septiembre de 2021
Como Google ahora está lanzando actualizaciones de Chrome para corregir los días cero como se informa, se recomienda encarecidamente que los usuarios no bloqueen las actualizaciones e instalen nuevas versiones a medida que estén disponibles.
Fuente: https://www.bleepingcomputer.com/