Vulnerabilidad 0-day en Chrome explotada activamente

Google acaba de lanzar una actualización de su navegador Chrome para todas las plataformas (Windows, Mac y Linux), que corrige múltiples vulnerabilidades, incluyendo una vulnerabilidad 0-day que estaría siendo explotada activamente.

La vulnerabilidad de severidad alta, identificada como CVE-2021-30554, es del tipo UAF (Use-after-free, o uso de memoria después de liberación) y se encuentra en el módulo WebGL, una API Javascript para la representación de gráficos 3D en el propio navegador.

La explotación exitosa de este fallo podría dar lugar a la sobrescritura y corrupción de zonas de memoria, provocando potencialmente la ejecución remota de código en el equipo de la víctima. Estaríamos ante el octavo 0-day corregido por Google en lo que va de año.

Las otras tres vulnerabilidades corregidas estarían dentro de la misma categoría (UAF), aunque afectarían a otros componentes del navegador. No se tiene constancia, a día de hoy, de la existencia de exploits que se aprovechen de las mismas.

CVE-2021-30554: UAF en componente WebGL. Reportado anónimamente el 15 de junio de 2021
CVE-2021-30555: UAF en componente Sharing. Reportado por David Erceg el 01/06/2021
CVE-2021-30556: UAF en componente WebAudio. Reportado por Yangkang el 24/05/2021
CVE-2021-30557: UAF en componente TabGroups. Reportado por David Erceg el 23/04/2021

La empresa recomienda la actualización urgente a la versión 91.0.4472.114, que incorpora todas las correcciones.

Ver información original al respecto en Fuente>