CVE-2024-0519 es una vulnerabilidad zero-day en el motor V8 de Javascript que afecta a los navegadores basados en Chromium. 

Esta vulnerabilidad permite, mediante una página HTML manipulada, acceder a memoria fuera de los límites legítimos de alguna estructura de datos del programa.

Además de poder provocar una denegación de servicio, este error hace inefectiva la protección ASLR. El fallo facilita por tanto realizar ataques de buffer overflow que permitan ejecución de código remoto en los sistemas afectados. La ausencia de esta protección hace a la vulnerabilidad una candidata ideal para ser enlazada con otras y provocar que un equipo sea comprometido.

Solución

Actualizar:

• Google Chrome

  • a la versión 120.0.6099.234 para macOS,

  • a la versión 120.0.6099.224 para Linux y

  • a la versión 120.0.6099.224/225 para Windows.

Los navegadores Microsoft Edge, Brave, Opera y Vivaldi, basados en Chromium, también están afectados, por lo que es necesario aplicar las actualizaciones correspondientes cuando estén disponibles.

Referencias

• https://thehackernews.com/2024/01/zero-day-alert-update-chrome-now-to-fix.html

• https://unaaldia.hispasec.com/2024/01/chrome-soluciona-un-zero-day-que-esta-siendo-explotado.html