Google ha liberado actualización para corregir vulnerabilidad de día cero (ZERO-DAY) el cual resulta ser la segunda vulnerabilidad de este tipo, explotada, en lo que va del año. La falla ha sido rastreada como CVE-2023-2136 y es descrita como un caso de desbordamiento de enteros (Integer overflow) en Skia. Una biblioteca de graficas en 2D de código abierto.
- CVE-2023-2136: Vulnerabilidad provocada por desbordamiento de enteros en Skia, anterior a 112.0.5615.137.
El desbordamiento de enteros (Integer Overflow) en Skia en versiones de Google Chrome anteriores a 112.0.5615.137 permitiría al atacante remoto, quien ha comprometido el proceso de renderizado para así poder potencialmente ejecutar un escape sandbox vía una página HTML manipulada.
Segunda Vulnerabilidad Zero-Day
El descubrimiento de esta vulnerabilidad de zero-day se da días posteriores a que Google hubiese parcheado la vulnerabilidad rastreada como CVE-2023-2033 (vulnerabilidad zero-day de alta severidad en el motor V8 de JavaScript) la semana pasada. El gigante tecnológico, quien, a su vez, arreglará otras vulnerabilidades a través de su ultimo parche, comento que son conscientes de que un exploit para la vulnerabilidad CVE-2023-2126 existe en la clandestinidad al mismo tiempo que indica que todos los detalles y links acerca de este bug se mantendrán restringidos hasta que la mayoría de los usuarios sean actualizados.
otras vulnerabilidades
La actualización liberada por Google (112.0.5615.137) busca, a su vez, el arreglo de otras vulnerabilidades, resaltando aquellas que fueron una contribución de la comunidad e investigadores externos.
- CVE-2023-2133: Vulnerabilidad provocada por acceso fuera de los límites, en la API Service Worker de Google Chrome que permitiría a un atacante remoto la explotación potencial de heap corruption a través de una página HTML manipulada.
- CVE-2023-2134: Vulnerabilidad provocada por acceso fuera de los límites, en la API Service Worker de Google Chrome que permitiría a un atacante remoto la explotación potencial heap corruption a través de una página HTML manipulada.
- CVE-2023-2135: Vulnerabilidad provocada por Use-After-Free en DevTools en Google Chrome que permitía a un atacante remoto que convencería a un usuario de habilitar condiciones previas específicas para la explotación potencial de heap corruption a través de una página HTML manipulada.
- CVE-2023-2137: Vulnerabilidad provocada por desbordamiento de buffer de Heap en sqlite en Google Chrome lo que permitiría a un atacante remoto la explotacion potencial de heap corruption a través de una página HTML manipulada.
Recomendación
- Se recomienda actualización inmediata a la versión 112.0.5615.137/138 para Windows, 112.0.5615.137 para MacOS y 112.0.5615.165 para Linux.
