Home Tecnología Las vulnerabilidades de alta severidad de Chrome permiten a los atacantes ejecutar...

Las vulnerabilidades de alta severidad de Chrome permiten a los atacantes ejecutar código arbitrario

11
0

Google ha lanzado una actualización de seguridad urgente para su navegador Chrome, abordando tres vulnerabilidades críticas que podrían permitir a los atacantes ejecutar código arbitrario en los sistemas de los usuarios.

La actualización del canal estable a la versión 138.0.7204.168/.169 para Windows y Mac, y 138.0.7204.168 para Linux, actualmente se está implementando en los usuarios de todo el mundo en los próximos días y semanas.

Los problemas más preocupantes son dos vulnerabilidades de confusión de tipo severidad en el motor JavaScript V8 de Chrome, descubiertos e informados por el investigador de seguridad Shaheen Fazim el 9 de julio de 2025. Estos defectos, rastreados como CVE-2025-8010 y CVE-2025-8011, amenazas significativas para la seguridad de los avanzadores.


A CVE-2025-8010 se le ha asignado una sustancial recompensa de la recompensa de errores de $ 8,000, lo que indica su gravedad e impacto potencial. La segunda vulnerabilidad, CVE-2025-8011, todavía está pendiente de su determinación de recompensas, pero conlleva implicaciones igualmente serias para la seguridad del usuario.

Escriba ataques de confusión

El tipo de vulnerabilidades de confusión ocurren cuando el software accede a los recursos utilizando tipos de datos incorrectos, lo que lleva a un comportamiento inesperado y posibles infracciones de seguridad.

En el contexto del motor JavaScript V8 de Chrome, estos defectos pueden ser particularmente peligrosos, ya que permiten a los atacantes manipular las asignaciones de memoria y potencialmente ejecutar código arbitrario a través de páginas web especialmente diseñadas.

“El tipo de confusión, a menudo combinada con el uso-después de la falta, es el vector de ataque principal para comprometer el software C ++ moderno como los navegadores”, según los investigadores de ciberseguridad.

Estas vulnerabilidades pueden conducir a la corrupción del montón, la corrupción de la memoria y, en última instancia, la ejecución de código arbitraria cuando se explota con éxito.

Esta actualización se produce en medio de una tendencia preocupante de aumentar las amenazas de seguridad basadas en el navegador. Los expertos en seguridad informan que las vulnerabilidades en 2024 aumentaron en un 61% en comparación con 2023, con casi 50,000 vulnerabilidades pronosticadas para 2025.

El motor V8 de Chrome se ha convertido en un objetivo particularmente atractivo para los ciberdelincuentes, y Google ofrece recompensas de recompensas de errores mejoradas de hasta $ 20,000 para informes de vulnerabilidad V8 de alta calidad.

El motor JavaScript V8, que impulsa no solo a Chrome sino también a otros navegadores basados en cromo como Microsoft Edge y Brave, procesa miles de millones de interacciones en la web diariamente, lo que hace que estas vulnerabilidades sean especialmente críticas.

Cuando se explotan, estos defectos podrían permitir a los atacantes omitir el Sandbox de seguridad de Chrome y obtener acceso al sistema operativo subyacente.

Los investigadores de seguridad enfatizan que los usuarios deben actualizar sus navegadores de inmediato. Los ataques de confusión de tipo moderno se pueden activar simplemente visitando un sitio web malicioso, que no requiere interacción adicional del usuario.

El ataque generalmente comienza con atacantes que elaboran páginas HTML maliciosas que contienen un código JavaScript especialmente diseñado que explota estas vulnerabilidades del motor V8.

El equipo de seguridad de Google también tiene admitido El trabajo de diversas iniciativas de seguridad interna, incluidos los directionsanitizer, MemorySanitizer y las técnicas confusas que ayudan a identificar tales vulnerabilidades antes de alcanzar la producción.

Sin embargo, el descubrimiento de estos problemas de alta severidad por parte de investigadores externos demuestra los desafíos continuos en la obtención de motores de navegador complejos.

Los usuarios de Chrome deben verificar la versión de su navegador navegando a Configuración> sobre Chrome y permitiendo que las actualizaciones pendientes se instalen automáticamente.

Dada la gravedad de estas vulnerabilidades y su potencial de explotación en los ataques de conducción, se recomienda un parche inmediato.

Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.

Fuente de noticias