Google ha lanzado actualizaciones de seguridad para su navegador web Chrome con el fin de abordar una vulnerabilidad de día cero de alta gravedad que, según informa, ha sido aprovechada en entornos reales.
La vulnerabilidad, identificada como CVE-2023-7024, ha sido descrita como un error de desbordamiento de búfer basado en montón en el marco WebRTC, susceptible de ser explotado para provocar fallos en el programa o la ejecución de código arbitrario.
Clément Lecigne y Vlad Stolyarov del Grupo de Análisis de Amenazas (TAG) de Google son acreditados por descubrir y reportar la falla el 19 de diciembre de 2023.
No se han revelado más detalles sobre el defecto de seguridad para evitar posibles abusos, y Google reconoce que “existe un exploit para CVE-2023-7024 en la naturaleza”.
Dado que WebRTC es un proyecto de código abierto y también es compatible con Mozilla Firefox y Apple Safari, en la actualidad no está claro si la falla tiene algún impacto más allá de Chrome y los navegadores basados en Chromium.
En un hito significativo, este avance marca la resolución del octavo día cero explotado activamente en Chrome desde principios de año.
Las vulnerabilidades identificadas son las siguientes:
- CVE-2023-2033 (puntuación CVSS: 8,8): confusión de tipos en V8
- CVE-2023-2136 (puntuación CVSS: 9,6): desbordamiento de enteros en Skia
- CVE-2023-3079 (puntuación CVSS: 8,8): confusión de tipos en V8
- CVE-2023-4762 (puntuación CVSS: 8,8): confusión de tipos en V8
- CVE-2023-4863 (puntuación CVSS: 8,8): desbordamiento del búfer de montón en WebP
- CVE-2023-5217 (puntuación CVSS: 8,8): desbordamiento del búfer de montón en codificación vp8 en libvpx
- CVE-2023-6345 (puntuación CVSS: 9,6): desbordamiento de enteros en Skia
En lo que va de 2023, se han revelado un total de 26,447 vulnerabilidades, superando al año anterior en más de 1,500 CVE, según datos recopilados por Qualys. Entre estas, 115 fallas han sido explotadas por actores de amenazas y grupos de ransomware, destacando la importancia crítica de mantener la seguridad en las plataformas digitales.
La ejecución remota de código, la omisión de funciones de seguridad, la manipulación del búfer, la escalada de privilegios y las fallas de validación y análisis de entradas han emergido como los principales tipos de vulnerabilidades.
Para mitigar posibles amenazas, se insta a los usuarios a actualizar a la versión 120.0.6099.129/130 de Chrome en sistemas Windows y 120.0.6099.129 en macOS y Linux.
Asimismo, se aconseja a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones tan pronto como estén disponibles, asegurando así un entorno digital más seguro y protegido contra posibles exploits y ataques cibernéticos.