Se han reportado múltiples vulnerabilidades en ChromeOS, 3 de severidad alta, que podrían ser aprovechadas para activar una condición de denegación de servicio y la ejecución remota de código en el sistema de destino.
Productos afectados:
- ChromeOS 120.0.6099.318 y versiones anteriores.
Impacto:
Las vulnerabilidades de severidades altas, se identifican como:
CVE-2024-6100: con una puntuación en CVSSv3 de 8.8. Esta vulnerabilidad podría permitir a un actor malicioso remoto ejecutar código arbitrario a través de una página HTML manipulada.
CVE-2024-36971: con una puntuación en CVSSv3 de 7.8. Esta vulnerabilidad está relacionada con la función __dst_negative_advice(), que no aplica adecuadamente las reglas de RCU, lo que puede resultar en un uso después de liberar (UAF – Use After Free).
CVE-2024-5497: con una puntuación en CVSSv3 de 7.5. Esta vulnerabilidad podría permitir el acceso a la memoria fuera de los límites, lo que podría ser explotado por actor malicioso remoto a través de una página HTML diseñada.
Recomendación:
Actualizar a la última versión disponible del producto afectado desde la página oficial del fabricante.
Referencia:
https://nvd.nist.gov/vuln/detail/CVE-2024-5497
https://chromereleases.googleblog.com/2024/07/long-term-support-channel-update-for_25.html
https://nvd.nist.gov/vuln/detail/CVE-2024-6100
https://nvd.nist.gov/vuln/detail/CVE-2024-36971