Google lanzó una nueva actualización para su navegador web Chrome en la que corrige una serie de fallas de seguridad, incluida una vulnerabilidad zero-day que se sabe está siendo explotada activamente por actores maliciosos. Las vulnerabilidades afectan a las versiones de Windows, macOS y Linux del popular navegador.

"Google está al tanto de los informes que hacen referencia a la existencia de exploits para la CVE-2021-21224 que están siendo utilizados como parte de una campaña maliciosa", dijo Google sobre la vulnerabilidad zero-day recientemente conocida y que deriva de una falla del tipo “type confusion” en el motor V8 de JavaScript que se usa en Chrome y otros navegadores web basados en Chromium.

Más allá de la vulnerabilidad zero-day, la nueva versión de Chrome corrige otras seis fallas de seguridad. Cuatro de ellas fueron catalogadas por Google como de alta severidad y fueron corregidas gracias a las contribuciones de investigadores externos. La primera de estas vulnerabilidades, registrada como CVE-2021-21222, también afecta al motor V8, sin embargo, en este caso se trata de un error de buffer overflow en el heap.

El segundo fallo, registrado como CVE-2021-21225 también reside en el componente V8 y se manifiesta como un error de acceso a la memoria fuera de los límites. En cuanto a la CVE-2021-21223, la misma se descubrió que afecta a Mojo como un error de integer overflow. La cuarta vulnerabilidad de alta severidad es la CVE-2021-21226 y se trata de una falla del tipo use-after-free descubierta en la navegación de Chrome.

“La explotación exitosa de la más grave de estas vulnerabilidades podría permitir a un atacante ejecutar código arbitrario en el contexto del navegador. Dependiendo de los privilegios asociados con la aplicación, un atacante podría ver, cambiar o borrar datos”, advirtió el Center for Internet Security.

Como es común con este tipo de lanzamientos, el gigante tecnológico no precisó más detalles sobre las fallas de seguridad reparadas hasta que la mayoría de los usuarios hayan tenido la oportunidad de actualizar sus navegadores web a la versión más reciente, mitigando la posibilidad de que las vulnerabilidades sean explotadas por los actores de amenazas.

Teniendo en cuenta las vulnerabilidades reveladas, los usuarios harían bien en actualizar sus navegadores a la última versión (90.0.4430.85) tan pronto como sea posible. Si tiene habilitadas las actualizaciones automáticas, su navegador debería actualizarse por sí mismo. También puede actualizar manualmente su navegador visitando la sección Acerca de Google Chrome, que se puede encontrar en Ayuda en la barra de menú.

Esta actualización viene después de dos actualizaciones previas lanzadas en marzo en la que corrigieron dos zero-day, y después de otras cuatro actualizaciones entre enero y febrero de 2021. Por si fuera poco, antes de esta última actualización y también en abril, Google lanzó otras actualizaciones la semana pasada para reparar otras zero-day en el navegador, algunas de las cuales fueron publicadas en Twitter.