Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Juanita Villegas

Foco de vulnerabilidad: vulnerabilidad de ejecución de código en la API de audio web de Google


Escrito por: Piotr Bania de Cisco Talos descubrió estas vulnerabilidades. Blog de Jon Munshaw.



Cisco Talos descubrió recientemente dos vulnerabilidades de uso posterior a libre en la API de audio web de Google que un adversario podría aprovechar para ejecutar código remoto en la máquina víctima. Web Audio API es una API de JavaScript de alto nivel para procesar y sintetizar audio en aplicaciones web. Estas vulnerabilidades existen específicamente en la instancia de esta API del navegador web Google Chrome.

De acuerdo con nuestra política de divulgación coordinada, Cisco Talos trabajó con Google para garantizar que estos problemas se resuelvan y que haya una actualización disponible para los clientes afectados.

DETALLES DE LA VULNERABILIDAD

Parpadeo de Google Chrome WebAudio :: AudioNodeOutput :: Vulnerabilidad de ejecución de código de extracción (TALOS-2021-1251 / CVE-2021-30522)

Existe una vulnerabilidad de ejecución de código en la funcionalidad WebAudio blink :: AudioNodeOutput :: Pull de Google Chrome 90.0.4405.0 (compilación) (64 bits) y 88.0.4324.146 (versión oficial) (64 bits). Una página web especialmente diseñada puede conducir a una condición de uso después de la liberación. Un atacante podría aprovechar esta vulnerabilidad engañando a un usuario para que abra una página web especialmente diseñada.

Lea el aviso de vulnerabilidad completo aquí para obtener información adicional.

VERSIONES PROBADAS

Talos probó y confirmó que TALOS-2021-1251 afecta a las versiones de 64 bits de Google Chrome, versiones 88.0.4324.146 y 90.0.4405.0.


COBERTURA

Las siguientes reglas de SNORTⓇ detectarán intentos de explotación. Tenga en cuenta que es posible que se publiquen reglas adicionales en una fecha futura y que las reglas actuales están sujetas a cambios en espera de información adicional sobre vulnerabilidades. Para obtener la información más actualizada sobre las reglas, consulte su Centro de administración de Firepower o Snort.org.

Reglas de Snort: 55036, 55037


Fuente: https://blog.talosintelligence.com/2021/06/chrome-web-audio.html

4 vistas0 comentarios