Por segunda vez en lo que va de marzo y cuarta vez en 2021, Google lanza parche para reparar una vulnerabilidad zero-day que está siendo utilizada por atacantes de manera activa.
A comienzos de marzo Google lanzaba la versión 89.0.4389.72 de Google Chrome y hace apenas unos días lanzó la versión 89.0.4389.90 para la versión de escritorio para Windows, Linux y Mac. En esta última, la compañía repara una nueva vulnerabilidad zero-day, registrada como CVE-2021-21193, y según informa, está al tanto de la existencia de un exploit que está siendo utilizado de manera activa.
En la pasada actualización de principios de mes Google reparaba 47 vulnerabilidades, entre ellas la CVE-2021-21166, mientras que en esta actualización repara solo cinco vulnerabilidades.
En el caso de la zero-day reparada en esta última actualización, la misma fue catalogada como de alta severidad y se trata de una vulnerabilidad del tipo “use after free” en el motor de renderizado de código abierto conocido como Blink.
Si bien al igual que en la actualización anterior, la compañía no dio mayores detalles sobre el fallo ni sobre los ataques hasta una mayor adopción de la actualización, según CWE, este tipo de vulnerabilidades puede tener varias consecuencias, como la ejecución de código de manera arbitraria. En este caso, en equipos que utilicen una versión desactualizada del navegador.
Como decíamos al inicio, se trata de la segunda vulnerabilidad zero-day bajo activa explotación que Google repara en su navegador Chrome en lo que va de este mes. Además, es la cuarta zero-day en lo que va de 2021, a lo que se suman las cinco reparadas entre octubre y noviembre de 2020, también bajo activa explotación.
Para los que aún no lo hicieron, recomendamos actualizar Google Chrome a la última versión lo antes posible.
Referencia: Información tomada de Prensa ESET Latinoamérica