El pasado 11 de febrero, Alison Huffman del equipo de investigación de vulnerabilidades, y quien anteriormente había reportado otros fallos de seguridad, identificó una vulnerabilidad que ha sido registrada con el código CVE-2021-21166.

La vulnerabilidad zero-day fue identificada partiendo de uno de los dos bugs que él mismo detectó. Según explicó, se debe a un fallo en el ciclo de vida de los objetos, el cual también fue encontrado en los componentes de audio. Lo anterior se reportó a Google el 4 de febrero, mismo día que se lanzó la versión estable Chrome 88. Sin embargo, no está claro si dicho bug y el presente comunicado están relacionados, puesto que Google no ha hecho mayores comentarios al respecto.

En el blog de Google se mencionan cuáles son las vulnerabilidades que se corrigen en esta nueva actualización, correspondiente a Chrome 89, con el fin de evitar que los usuarios se vean afectados. Además, reconoce que existe un exploit para la vulnerabilidad zero-day mencionada anteriormente, pero del cual no ofrece mayor detalle.

Para solventar esta brecha de seguridad, Google recomienda actualizar lo antes posible a la nueva versión de Chrome, lo cual se puede llevar a cabo desde el menú de configuración. Cabe mencionar que en lo que va del 2021, éste es el segundo caso de zero-day corregido por Google en su navegador Chrome.

Referencias:
https://chromereleases.googleblog.com/2021/03/stable-channel-update-for-desktop.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-21166
https://www.welivesecurity.com/la-es/2021/03/04/atacantes-aprovechando-vulnerabilidad-zero-day-chrome/
https://unaaldia.hispasec.com/2021/03/nuevo-0-day-en-google-chrome.html