En una
actualización de seguridad de emergencia lanzada ayer, Google ha solucionado la
sexta vulnerabilidad Zero-Day en Chrome este año. La compañía reconoció
la existencia de un exploit para la falla de seguridad (rastreada como
CVE-2023-6345).
La vulnerabilidad se ha abordado en el canal Stable Desktop, con versiones
parcheadas implementadas globalmente para usuarios de Windows
(119.0.6045.199/.200) y usuarios de Mac y Linux (119.0.6045.199). Esta actualización además, incluye 7 correcciones de seguridad.
Los usuarios que no quieran actualizar manualmente pueden confiar en el
navegador web para buscar nuevas actualizaciones automáticamente e instalarlas
después del próximo lanzamiento.
Probablemente esté siendo explotado en ataques de software espía
Esta vulnerabilidad de día cero de alta gravedad se debe a una debilidad de
desbordamiento de enteros dentro de la biblioteca de gráficos 2D de código
abierto de Skia, lo que plantea riesgos que van desde fallas hasta la
ejecución de código arbitrario (Skia también se utiliza como motor de gráficos
en otros productos como ChromeOS, Android y Flutter).
El error fue informado el viernes 24 de noviembre por Benoît Sevens y Clément
Lecigne, dos investigadores de seguridad del Grupo de Análisis de Amenazas
(TAG) de Google.
Google TAG es conocido por descubrir Zero-Days, a menudo explotados por grupos
de delincuentes informáticos patrocinados por el estado en campañas de
software espía dirigidas a personas de alto perfil como periodistas y
políticos de la oposición.
La compañía ha declarado que el acceso a los detalles permanecerá restringido
hasta que la mayoría de los usuarios hayan actualizado sus navegadores. Si la
falla también afecta al software de terceros que aún no ha sido parcheado,
entonces se ampliará la limitación de acceso a los detalles y enlaces del
error.
Esto tiene como objetivo reducir la probabilidad de que los actores de
amenazas desarrollen sus propios exploits CVE-2023-6345, aprovechando la
información técnica recientemente publicada sobre la vulnerabilidad.
En septiembre, Google solucionó otros dos Zero-Days (rastreados como
CVE-2023-5217 y CVE-2023-4863), el cuarto y quinto desde principios de 2023.
Anteriormente, la empresa lanzó actualizaciones de seguridad para
CVE-2023-3079, CVE-2023-2136 y CVE-2023-2033. Google TAG también etiquetó un
error de ejecución remota de código (CVE-2023-4762) como día cero después de
descubrir su uso en ataques de software espía, semanas después de que se
parcheara a principios de septiembre.
Se puede consultar la página de seguridad de Chrome para obtener más información.
Fuente:
BC
Los comentarios están cerrados.