Resumen de Actualizaciones de Seguridad de Chrome en Mayo 2024

🔴  Resumen de Actualizaciones: En mayo de 2024, Google lanzó varias actualizaciones críticas para abordar múltiples vulnerabilidades de día cero en el navegador Chrome. Estas vulnerabilidades fueron explotadas activamente, lo que resalta la urgencia de que los usuarios apliquen las actualizaciones de inmediato. Posiblemente ha sido el mes con mayor liberación de versiones/actualizaciones desde Diciembre de 2023.

🔍 Vulnerabilidades Clave Abordadas durante Mayo 2024:

1. CVE-2024-4761: Esta vulnerabilidad de día cero involucraba un desbordamiento de búfer en el heap en WebRTC, lo que permitía potencialmente a los atacantes ejecutar código arbitrario. Dada su naturaleza crítica, Google emitió un parche de emergencia.
2. CVE-2024-4762: Esta vulnerabilidad estaba relacionada con una validación insuficiente en Mojo, una colección de bibliotecas de tiempo de ejecución que facilitan la comunicación entre procesos. La falla podía ser explotada para la ejecución remota de código.
3. CVE-2024-4763: Otro problema crítico encontrado en el motor JavaScript, que permitía a los atacantes eludir las restricciones de seguridad y obtener privilegios elevados.
4. CVE-2024-4764: Esta vulnerabilidad implicaba un desbordamiento de búfer en la memoria dinámica en la implementación de WebGL, lo que podría permitir la ejecución remota de código​.
5. CVE-2024-5274: Vulnerabilidad de confusión de tipos en el motor V8 de JavaScript de Chrome. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario en los sistemas afectados, lo que puede resultar en robo de datos, corrupción del sistema y acceso no autorizado a información sensible.

Impacto y Recomendaciones: Las vulnerabilidades identificadas tenían implicaciones significativas, resumiendo:

• Ejecución Remota de Código: Los atacantes podían tomar control de los sistemas afectados, ejecutar comandos arbitrarios y acceder a información sensible.
• Escalación de Privilegios: Los exploits podían permitir a los atacantes obtener un acceso más alto del que se pretendía, llevando a compromisos más amplios del sistema.

🛡️ Versiones y Productos Afectados:

• Las vulnerabilidades impactaron varias versiones de Chrome y potencialmente otros navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi.

Acción del Usuario: Google recomendó encarecidamente a los usuarios actualizar sus navegadores de inmediato para protegerse contra estas vulnerabilidades explotadas activamente. Las actualizaciones fueron parte del compromiso continuo de Google para mantener la seguridad e integridad de sus productos.

Las últimas Versiones Estables que estamos instalando y aseguran el mínimo impacto en el compromiso de la Seguridad son (a día de hoy 29/5/24):

1. Chrome para Escritorio (Windows, Mac, Linux):
   • Versión: 125.0.6422.60 para Linux y 125.0.6422.60/.61 para Windows y Mac
2. Chrome para Android:
   • Versión: 125.0.6422.53
3. Chrome para iOS:
   • Versión: 125.0.6422.51
4. Chrome OS:
   • Versión: 125.0.6422.64

Mas info:

• The Hacker News: Google Patches Yet Another Actively Exploited Zero-Day
• Google Chrome browser patches 7th zero-day vulnerability of 2024
• The Hacker News: Chrome Zero-Day Alert - Update Your Browser
• The Hacker News: New Chrome Zero-Day Vulnerability CVE-2024-4761
• Chrome Security Alert: Fourth Zero-Day Exploit Patched This Month
• The Hacker News: Google Detects 4th Chrome Zero-Day in May
• Blog de Lanzamientos de Chrome

Estas actualizaciones destacan la necesidad crítica de vigilancia continua y acción inmediata en ciberseguridad para proteger a los usuarios de amenazas emergentes.