El miércoles pasado, Google tomó medidas para abordar una nueva vulnerabilidad de día cero que estaba siendo activamente explotada en su navegador Chrome. Esta vulnerabilidad se identifica como CVE-2023-5217 y se considera de alta gravedad. Se trata de un desbordamiento de búfer que afecta al formato de compresión VP8 en la biblioteca de códecs de vídeo de software libre llamada libvpx, la cual es desarrollada por Google y la Alliance for Open Media (AOMedia).

Explotar este tipo de vulnerabilidades de desbordamiento de búfer puede causar fallas en el programa o permitir la ejecución de código arbitrario, lo que afecta tanto a la disponibilidad como a la integridad del sistema.

La vulnerabilidad fue descubierta y notificada por Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google el 25 de septiembre de 2023. Su colega investigadora Maddie Stone mencionó en X (anteriormente conocido como Twitter) que un proveedor comercial de software espía había abusado de esta vulnerabilidad para dirigirse a individuos de alto riesgo.

Google no ha proporcionado detalles adicionales sobre la vulnerabilidad, aparte de reconocer que es consciente de que se ha desarrollado un exploit para CVE-2023-5217 en la naturaleza.

Este es el quinto caso de una vulnerabilidad de día cero en Google Chrome para la cual se han lanzado parches en este año. Las otras vulnerabilidades incluyen:

  1. CVE-2023-2033 (CVSS: 8,8): Confusión de tipos en V8.
  2. CVE-2023-2136 (CVSS: 9,6): Desbordamiento de enteros en Skia.
  3. CVE-2023-3079 (CVSS: 8,8): Confusión de tipos en V8.
  4. CVE-2023-4863 (CVSS: 8,8): Desbordamiento de búfer de montón en WebP.

Es importante que los usuarios actualicen su navegador Chrome a la versión 117.0.5938.132 en Windows, macOS y Linux para mitigar posibles amenazas. Además, se recomienda que los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, apliquen las correcciones disponibles tan pronto como sea posible para garantizar la seguridad de sus sistemas.

fuente:thehackernews