Múltiples vulnerabilidades en navegador Google Chrome.

Google Chrome, uno de los navegadores más utilizados del mundo, ha anunciado recientemente el lanzamiento de una actualización para combatir una serie de vulnerabilidades identificadas en su software.

La vulnerabilidades se identifican como:

  • CVE-2023-3214 (Severidad Crítica): Uso después de libre en pagos Autofill.
  • CVE-2023-3215 (Severidad Alta): Uso después de libre en WebRTC.
  • CVE-2023-3216 (Severidad Alta): Confusión tipográfica en V8.
  • CVE-2023-3217 (Severidad Alta): Uso después de free en WebXR.

Quizás la más alarmante de estas vulnerabilidades fue CVE-2023-3214. Las fallas de ‘usar después de liberar’ ocurren cuando un programa continúa usando memoria después de haber sido liberada o eliminada. En el caso de Chrome, esto podría permitir a los atacantes corromper datos válidos, bloquear el sistema o incluso ejecutar código arbitrario, según cómo se haya configurado el sistema vulnerable.

La siguiente en la línea de vulnerabilidades identificadas fue CVE-2023-3215, otra falla de ‘uso después de libre’, esta vez dentro del componente WebRTC de Chrome. El descubrimiento de esta falla condujo a una recompensa por errores de $ 3,000 para el investigador que informó, lo que indica su naturaleza potencialmente grave.

WebRTC, que significa Web Real-Time Communication, proporciona aplicaciones web con comunicaciones sencillas, directas y entre pares. Una falla en este componente podría haber tenido graves consecuencias para la privacidad del usuario y la seguridad de la información compartida en la web.

Se corrigió otra vulnerabilidad de «uso después de liberar» en el componente WebXR de Chrome, conocido como CVE-2023-3217. WebXR es una tecnología que permite que las aplicaciones web presenten contenido en formatos 3D o Realidad Virtual (VR). Un exploit en esta área podría potencialmente permitir la ejecución de código malicioso en un entorno inmersivo, proporcionando otra vía para que los atacantes exploten.

Google también abordó una falla de ‘confusión de tipo en V8’ CVE-2023-3216 en la última actualización. El V8 es el motor JavaScript y WebAssembly de código abierto y alto rendimiento de Google, que es parte integral del funcionamiento de Chrome. Las fallas de ‘confusión de tipos’ pueden provocar errores lógicos, bloqueos del sistema o acciones no autorizadas, lo que hace que esta sea una solución crucial.

Versiones afectadas

Versiones de Google Chrome afectadas:

  • Mac y Linux: versiones anteriores a 114.0.5735.133
  • Windows: versiones anteriores a 114.0.5735.133/134.

Solución

Se recomienda a los usuarios que actualicen a las nuevas versiones para proteger sus sistemas contra estas amenazas.

  • Mac y Linux: Versión 114.0.5735.133 o posterior.
  • Windows: Versión 114.0.5735.133/134 o posterior.

Referencias.