Google lanza actualizaciones de seguridad para corregir siete problemas de seguridad de alta gravedad en su navegador Chrome, incluyendo una vulnerabilidad zero-day que ha sido objeto de explotación activa en entornos no controlados.
La vulnerabilidad zero-day explotada en entornos no controlados ha sido identificada como CVE-2023-6345, ésta ha sido descrita como un error de Integer overflow en Skia, una librería de gráficos 2D de código abierto. Benoît Sevens y Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google han sido reconocidos por descubrir y reportar la vulnerabilidad el pasado 24 de noviembre de 2023.
El gigante de las búsquedas reconoció que existe un exploit para CVE-2023-6345 que está siendo utilizado en ataques reales, pero se abstuvo de compartir información adicional sobre la naturaleza de los ataques y los actores de amenazas que podrían estar utilizándolo en ataques del mundo real.
Cabe destacar que Google lanzó parches para una vulnerabilidad zero-day similar de integer overflow en la misma librería (conocida como CVE-2023-2136) en abril de 2023, que también fue objeto de explotación activa, lo que sugiere la posibilidad de que CVE-2023-6345 sea un bypass para el primero.
Se dice que CVE-2023-2136 permitía a un atacante remoto que había comprometido el proceso de renderizado realizar potencialmente una fuga de la sandbox a través de una página HTML manipulada.
Con esta última actualización, Google ha abordado un total de 6 vulnerabilidades de alta gravedad en Chrome:
- CVE-2023-6348 (Puntuación CVSS: 8.8): Type Confusion en Spellcheck.
- CVE-2023-6347 (Puntuación CVSS: 9.8): Use after free en Mojo.
- CVE-2023-6346 (Puntuación CVSS: 9.8): Use after free en WebAudio.
- CVE-2023-6350 (Puntuación CVSS: 7.3): Out of bounds memory access en libavif.
- CVE-2023-6351 (Puntuación CVSS: 9.8): Use after free en libavif.
- CVE-2023-6345 (Puntuación CVSS: 8.8): Integer overflow en Skia.
Se recomienda a los usuarios que actualicen a la versión 119.0.6045.199/.200 de Chrome para Windows y 119.0.6045.199 para macOS y Linux para mitigar posibles amenazas. También se aconseja a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones tan pronto como estén disponibles.
Para verificar la versión actual de tu navegador y, en caso necesario, actualizarlo, selecciona el menú (ubicado como tres puntos verticales a la derecha de la barra de direcciones/búsqueda). Luego, desplázate hacia ‘Ayuda’ y haz clic en ‘Información de Google Chrome’. Esto abrirá una nueva pestaña con detalles sobre tu navegador, incluyendo la versión actual. Si es necesario, la descarga de la actualización se activará automáticamente.
Más información:
- https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html
- https://unaaldia.hispasec.com/2023/04/google-vulnerabilidades.html
La entrada Google responde a ataques actuales: Parche de seguridad para Zero-Day explotada en Chrome se publicó primero en Una al Día.