Anunciada este 2 de marzo, la nueva actualización de Google Chrome viene con 47 parches de seguridad, la mayoría de ellos relacionados con un problema en el ciclo de vida de los objetos de audio.
La vulnerabilidad ha sido identificada con el código CVE-2021-21166 y se trata de uno de los dos bugs reportados el pasado 11 de febrero por el investigador Alison Huffman, del equipo de investigación de vulnerabilidades relacionadas con navegadores de Microsoft. Un fallo en el ciclo de vida de los objetos, también encontrado en los componentes de audio, fue reportado a Google el 4 de febrero, el mismo día que la versión estable Chrome 88 pasó a estar disponible para los usuarios, aunque no está claro si dicho bug y el comunicado en este post están relacionados, puesto que Google no ha hecho mayores comentarios al respecto.
Asimismo, Google reconoció que existe un exploit para esta vulnerabilidad, aunque no dio detalles sobre el mismo para evitar que actores maliciosos pudieran hacer uso de él antes de que los usuarios actualizaran a la última versión del navegador.
Desde que diera inicio el 2021, este se trata del segundo zero-day corregido por Google en su navegador Chrome. El 4 de febrero la compañía solventó un problema de buffer overflow con identificador CVE-2021-21148.
Si nos vamos un poco más atrás en el tiempo, Google ya venía de resolver cinco zero-days a finales del año pasado que estaban siendo activamente explotados entre el 20 de octubre y el 12 de noviembre de 2020.
Para evitar vernos afectados por esta nueva vulnerabilidad, se recomienda actualizar a la nueva versión de Chrome lo antes posible, lo cual podemos hacer desde el menú de configuración accediendo a la pestaña «Ayuda».
Fuente: https://unaaldia.hispasec.com/2021/03/nuevo-0-day-en-google-chrome.html