Hace solo unos días, Google lanzó una actualización de emergencia para Chrome que solucionó una vulnerabilidad que se estaba explotando activamente.
Menos de una semana después, llegó una
segunda actualización para otro Zero-Day que se está
explotando in-the-wild.
La actualización 112.0.5615.137 para Chrome corrige ocho fallas de seguridad,
incluida al menos una que puede haber sido aprovechada activamente. Esta
vulnerabilidad (CVE-2023-2136) se describe como un desbordamiento de enteros
en la librería multiplataforma de gráficos 2D Skia y aparece como un
error de alto riesgo. Como siempre, Google no revela cómo se solucionó la
falla.
En la publicación también se describen otros cuatro defectos:
- [$NA][1432603] High CVE-2023-2136: Integer overflow in Skia. Reported by Clément Lecigne of Google’s Threat Analysis Group on 2023-04-12
-
[$8000][1429197] High CVE-2023-2133: Out of bounds memory access in Service Worker API.
Reported by Rong Jian of VRI on 2023-03-30 - [$8000][1429201] High CVE-2023-2134: Out of bounds memory access in Service Worker API.
Reported by Rong Jian of VRI on 2023-03-30 - [$3000][1424337] High CVE-2023-2135: Use after free in DevTools. Reported by Cassidy
Kim(@cassidy6564) on 2023-03-14 - [$1000][1430644] Medium CVE-2023-2137: Heap buffer overflow in sqlite. Reported by Nan
Wang(@eternalsakura13) and Guang Gong of 360 Vulnerability Research
Institute on 2023-04-05
Todas las fallas se enumeran como de riesgo «alto», excepto CVE-2023-2137, que
tiene un riesgo «medio».
El canal estable y estable extendido se actualizó a 112.0.5615.137/138 para
Windows, 112.0.5615.137 para Mac y 112.0.5615.165 para Linux, que se
implementará en los próximos días o semanas. Una lista completa de cambios en
esta compilación está disponible en el
log.
Esta vulnerabilidad también afecta a otros navegadores que dependen de Chromium, tales como Edge, Brave y Vivaldi.
Fuente:
Chrome
Los comentarios están cerrados.