Google ha lanzado la última versión de su navegador Chrome, que aborda 26 vulnerabilidades, incluidas ocho fallas críticas.
Chrome 116 cubre actualizaciones para varios bits de funcionalidad, incluidos Offline, V8 engine, Device Trust Connectors, Fullscreen, Network, ANGLE y Skia.
Mike Walters, vicepresidente de investigación de vulnerabilidades y amenazas y cofundador de Action1, destacó CVE-2023-2312 como una de las vulnerabilidades más críticas. El error use-after-free en Offline obtuvo una recompensa de $30,000 por error de Google.
“El problema se deriva de la función ‘Programar descarga’ que recibe una devolución de llamada. Dentro de esta función, se pasa un puntero sin formato a un objeto WebContents como parámetro a la devolución de llamada”, explicó.
“El problema surge de la falta de garantía de que el puntero al objeto WebContents siga siendo válido cuando se ejecuta la devolución de llamada. En consecuencia, la devolución de llamada podría intentar acceder o manipular un objeto WebContents inválido o inexistente, lo que resultaría en una vulnerabilidad de uso después de la liberación”.
Otro defecto de uso después de la liberación a tener en cuenta es CVE-2023-4349, que afecta a Device Trust Connectors y, en particular, a la interacción entre DeviceTrustKeyManager y ThreadPool.
El aviso de seguridad se produce después de que los investigadores advirtieran la semana pasada que los actores de amenazas han estado intentando engañar a los usuarios para que instalen actualizaciones falsas para descargar malware.
Trellix afirmó en una publicación de blog que el objetivo final era instalar una herramienta de software de administración remota llamada NetSupport Manager para controlar de forma remota las máquinas de las víctimas y robar información.
La campaña estaba vinculada al presunto actor ruso SocGholish, aunque Trellix no está 100% seguro de su atribución.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian