Google lanzó el miércoles correcciones para abordar un nuevo zero-day explotado activamente en el navegador Chrome.
Rastreada como CVE-2023-5217, la vulnerabilidad de alta gravedad se ha descrito como un heap-based buffer overflow en el formato de compresión VP8 en libvpx, una biblioteca de códecs de video de software libre de Google y Alliance for Open Media (AOMedia).
La explotación de tales fallas de desbordamiento de búfer puede provocar bloqueos del programa o la ejecución de código arbitrario, lo que afecta su disponibilidad e integridad.
Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google ha sido acreditado con el descubrimiento y la notificación de la falla el 25 de septiembre de 2023, y su colega investigadora Maddie Stone señaló en X que ha sido abusada por un proveedor comercial de spyware para dirigirse a personas de alto riesgo.
El gigante tecnológico no ha revelado detalles adicionales aparte de reconocer que es “consciente de que existe un exploit para CVE-2023-5217 en la naturaleza”.
El último descubrimiento eleva a cinco el número de vulnerabilidades de zero-day en Google Chrome para las que se han lanzado parches este año:
- CVE-2023-2033 (puntuación CVSS: 8,8)
- CVE-2023-2136 (puntuación CVSS: 9,6)
- CVE-2023-3079 (puntuación CVSS: 8,8)
- CVE-2023-4863 (puntuación CVSS: 8,8)
También se sospecha que el fabricante israelí de spyware Cytrox puede haber explotado una vulnerabilidad de Chrome recientemente parcheada (CVE-2023-4762, puntuación CVSS: 8.8) como un zero-day para entregar Predator, aunque actualmente hay muy poca información disponible sobre los ataques en la naturaleza.
El desarrollo se produce cuando Google asignó un nuevo identificador CVE, CVE-2023-5129, a la falla crítica en la biblioteca de imágenes libwebp, originalmente rastreada como CVE-2023-4863, que ha sido objeto de explotación activa en la naturaleza, considerando su amplia superficie de ataque.
Se recomienda a los usuarios que actualicen a la versión 117.0.5938.132 de Chrome para Windows, macOS y Linux para mitigar las posibles amenazas. También se recomienda a los usuarios de navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las correcciones cuando estén disponibles.
