Google i Mozilla van anunciar dimarts actualitzacions de seguretat per als seus navegadors web Chrome i Firefox.
Anàlisi
Google ha llançat una actualització (Chrome 130) per al seu navegador Chrome, que inclou pedaços per a dos vulnerabilitats crítiques.
Una d’estes, identificada com CVE-2024-10487, ha sigut descrita com un problema crític d’escriptura fora de límits en Dawn, la implementació multiplataforma de l’estàndard WebGPU i pot ser utilitzada per cibercriminals com una descàrrega automàtica. Això significa que el dispositiu d’una víctima podria veure’s compromés amb només visitar un lloc web o un anunci maliciós.
L’equip d’Enginyeria i Arquitectura de Seguretat (SEAR) d’Apple va informar del problema a Google fa a penes una setmana. També s’utilitzen diferents implementacions de l’API de gràfics WebGPU en Firefox i Safari, però no és clar si estos navegadors també es veuen afectats per CVE-2024-10487.
Si bé no hi ha informació sobre per a què es pot explotar CVE-2024-10487, en general, l’explotació de problemes d’escriptura fora dels límits pot provocar l’execució de codi arbitrari. Google no ha esmentat res sobre l’explotació en la pràctica.
La segona vulnerabilitat apedaçada amb el llançament de Chrome 130 és CVE-2024-10488, un error d’ús després de l’alliberament d’alta gravetat en WebRTC. La vulnerabilitat és un problema d’ús posterior a l’alliberament que residix en WebRTC i podria provocar l’execució de codi arbitrari o causar un bloqueig. Podria usar-se per a possibles robatoris de dades o bloquejos del sistema.
Per la seua part, Mozilla va llançar Firefox 132 i Thunderbird 132. Les últimes versions del navegador i del client de correu electrònic corregixen les mateixes 11 vulnerabilitats, incloses dos d’alta gravetat.
Una d’estes, identificada com CVE-2024-10458, s’ha descrit com una fuga de permisos que pot ocórrer des d’un lloc web de confiança a un lloc web que no ho és. El segon problema, CVE-2024-10459, és un ús posterior a l’alliberament que pot provocar un bloqueig explotable.
A les vulnerabilitats restants s’han assignat qualificacions de gravetat “mitjana” i “baixa” i la seua explotació pot conduir a suplantació d’identitat, atacs XSS, fugues d’informació, condicions de denegació de servici (DoS) i execució de codi arbitrari.
Recursos afectats
- Google Chrome en versions anteriors a Chrome 130.
- Mozilla Firefox en versions anteriors a Firefox 132.
- MozillaThunderbird en versions anteriors a Thunderbird 132.
Recomanacions
Els dos fabricants han publicat versions actualitzades dels productes, per la qual cosa es recomana actualitzar-los a les versions més recents (Chrome 130, Firefox 132 i Thunderbird 132).
Referències