Google ha lanzado actualizaciones de seguridad para abordar siete problemas de seguridad en su navegador Chrome, incluyendo una vulnerabilidad de día cero que ha sido explotada activamente en el entorno digital.
Identificada como CVE-2023-6345, esta seria vulnerabilidad se ha caracterizado como un error de desbordamiento de enteros en Skia, una biblioteca de gráficos 2D de código abierto. El Grupo de Análisis de Amenazas (TAG) de Google, específicamente Benoît Sevens y Clément Lecigne, son acreditados por descubrir y reportar la falla el 24 de noviembre de 2023.
Como es habitual, Google reconoció que “existe un exploit para CVE-2023-6345 en estado salvaje”; sin embargo, no proporcionó detalles adicionales sobre la naturaleza de los ataques ni sobre los actores de amenazas que podrían estar utilizando esta vulnerabilidad como arma en ataques del mundo real.
Es relevante destacar que en abril de 2023, Google lanzó parches para una vulnerabilidad de desbordamiento de enteros similar en el mismo componente (CVE-2023-2136), la cual también fue objeto de explotación activa como día cero. Esto plantea la posibilidad de que CVE-2023-6345 podría ser un parche destinado a prevenir la misma vulnerabilidad.
Se informa que CVE-2023-2136 “permitió a un atacante remoto que había comprometido el proceso de renderizado realizar potencialmente un escape de la zona de pruebas a través de una página HTML diseñada”.
Con esta última actualización, la compañía tecnológica ha abordado un total de seis vulnerabilidades de día cero en Chrome desde el comienzo del año, incluyendo:
- CVE-2023-2033 (puntuación CVSS: 8,8) – Confusión de tipos en V8
- CVE-2023-2136 (puntuación CVSS: 9,6): Desbordamiento de enteros en Skia
- CVE-2023-3079 (puntuación CVSS: 8,8) – Confusión de tipos en V8
- CVE-2023-4863 (puntuación CVSS: 8,8): Desbordamiento del búfer de montón en WebP
- CVE-2023-5217 (puntuación CVSS: 8,8): Desbordamiento del búfer de montón en la codificación vp8 en libvpx
Recomendaciones:
Se insta a los usuarios a actualizar a la versión 119.0.6045.199/.200 de Chrome en Windows y 119.0.6045.199 en macOS y Linux para mitigar posibles amenazas. Además, se aconseja a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones tan pronto como estén disponibles.