Google y Mozilla anunciaron el martes actualizaciones de seguridad para sus navegadores web Chrome y Firefox.
Análisis
Google ha lanzado una actualización (Chrome 130) para su navegador Chrome que incluye parches para dos vulnerabilidades críticas.
Una de ellas, identificada como CVE-2024-10487, ha sido descrita como un problema crítico de escritura fuera de límites en Dawn, la implementación multiplataforma del estándar WebGPU y puede ser utilizada por cibercriminales como una descarga automática. Eso significa que el dispositivo de una víctima podría verse comprometido con solo visitar un sitio web o un anuncio malicioso.
El equipo de Ingeniería y Arquitectura de Seguridad (SEAR) de Apple informó del problema a Google hace apenas una semana. También se utilizan diferentes implementaciones de la API de gráficos WebGPU en Firefox y Safari, pero no está claro si estos navegadores también se ven afectados por CVE-2024-10487.
Si bien no hay información sobre para qué se puede explotar CVE-2024-10487, en general, la explotación de problemas de escritura fuera de los límites puede provocar la ejecución de código arbitrario. Google no ha mencionado nada sobre la explotación en la práctica.
La segunda vulnerabilidad parcheada con el lanzamiento de Chrome 130 es CVE-2024-10488, un error de uso después de la liberación de alta gravedad en WebRTC. La vulnerabilidad es un problema de uso posterior a la liberación que reside en WebRTC y podría provocar la ejecución de código arbitrario o causar un bloqueo. Podría usarse para posibles robos de datos o bloqueos del sistema.
Por su parte Mozilla lanzó Firefox 132 y Thunderbird 132. Las últimas versiones del navegador y del cliente de correo electrónico corrigen las mismas 11 vulnerabilidades, incluidos dos de alta gravedad.
Uno de ellos, identificado como CVE-2024-10458, se ha descrito como una fuga de permisos que puede ocurrir desde un sitio web confiable a un sitio web que no lo es. El segundo problema, CVE-2024-10459, es un uso posterior a la liberación que puede provocar un bloqueo explotable.
A las vulnerabilidades restantes se les han asignado calificaciones de gravedad «media» y «baja» y su explotación puede conducir a suplantación de identidad, ataques XSS, fugas de datos, condiciones de denegación de servicio (DoS) y ejecución de código arbitrario.
Recursos afectados
- Google Chrome en versiones anteriores a Chrome 130.
- Mozilla Firefox en versiones anteriores a Firefox 132.
- Mozilla Thunderbird en versiones anteriores a Thunderbird 132.
Recomendaciones
Ambos fabricantes han publicado versiones actualizadas de los productos, por lo que se recomienda actualizarlos a las versiones mas recientes (Chrome 130, Firefox 132 y Thunderbird 132).
Referencias