Google ha lanzado actualizaciones de seguridad para solucionar siete problemas de seguridad en su navegador Chrome, incluido un zero-day que ha sido objeto de explotación activa en la naturaleza.
Rastreada como CVE-2023-6345, la vulnerabilidad de alta gravedad se ha descrito como un error de desbordamiento de enteros en Skia, una biblioteca de gráficos 2D de código abierto.
A Benoît Sevens y Clément Lecigna, del Grupo de Análisis de Amenazas (TAG) de Google, se les atribuye el descubrimiento y la notificación de la falla el 24 de noviembre de 2023.
Como suele ser el caso, el gigante de las búsquedas reconoció que “existe un exploit para CVE-2023-6345 en la naturaleza”, pero no llegó a compartir información adicional sobre la naturaleza de los ataques y los actores de amenazas que pueden estar armándola en ataques del mundo real.
Vale la pena señalar que Google lanzó parches para una falla similar de desbordamiento de enteros en el mismo componente (CVE-2023-2136) en abril de 2023 que también había sido objeto de explotación activa como zero-day, lo que plantea la posibilidad de que CVE-2023-6345 pueda ser una omisión de parches para el primero.
Se dice que CVE-2023-2136 “permitió a un atacante remoto que había comprometido el proceso de renderizado realizar potencialmente un escape de sandbox a través de una página HTML diseñada”.
Con la última actualización, el gigante tecnológico ha abordado un total de siete días cero en Chrome desde principios de año:
- CVE-2023-2033 (puntuación CVSS: 8,8) – Confusión de tipos en V8
- CVE-2023-2136 (puntuación CVSS: 9,6) – Desbordamiento de enteros en Skia
- CVE-2023-3079 (puntuación CVSS: 8,8) – Confusión de tipos en V8
- CVE-2023-4762 (puntuación CVSS: 8,8) – Confusión de tipos en V8
- CVE-2023-4863 (puntuación CVSS: 8,8): desbordamiento de búfer de pila en WebP
- CVE-2023-5217 (puntuación CVSS: 8,8): desbordamiento de búfer de pila en la codificación vp8 en libvpx
Se recomienda a los usuarios que actualicen a la versión de Chrome 119.0.6045.199/.200 para Windows y 119.0.6045.199 para macOS y Linux para mitigar las posibles amenazas. También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones a medida que estén disponibles.
