CVE-2023-2033 (CVSS temporal: 6, Alta): esta vulnerabilidad es atribuida a una función desconocida en el motor de JavaScript V8, surge de asignar o inicializar un recurso como un puntero, objeto o variable de tipo input desconocido, lo que causaría escalamiento de privilegios por parte del atacante. Los efectos exactos de un ataque exitoso no son conocidos, de momento.
Como se mencionó, esta falla permitiría a un atacante remoto, explotar de manera exitosa el «Heap corruption» a través de una página HTML manipulada, esto permitiría la ejecución arbitraria de código en el navegador y causaría que la navegación por sitios webs vulnerables sean susceptibles al secuestro del dispositivo.
Se reconoció la existencia de un exploit, pero no se llegaron a compartir detalles técnicos o indicadores de compromiso (IoC) para evitar una mayor explotación por parte de los atacantes. «El acceso a los detalles de los errores y los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución», citó Google.
Productos afectados
- Versiones de Google Chrome anteriores a 112.0.5615.121
Soluciones
- Google Chrome version 112.0.5615.121
Recomendaciones
- Actualizar lo más pronto posible a la versión 112.0.5615.121 de Google Chrome para Windows, macOS y Linux para así mitigar posibles amenazas.
- A los usuarios de navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi estar atento a nuevas correcciones y aplicarlas a medida que estén disponibles.
Referencias
Para mayor información sobre la vulnerabilidad descrita, consultar los siguientes enlaces:
- https://economictimes.indiatimes.com/tech/technology/google-releases-emergency-update-to-fix-1st-zero-day-bug-of-2023-in-chrome/articleshow/99563654.cms?from=mdr
- https://www.linkedin.com/pulse/la-actualizaci%C3%B3n-de-emergencia-google-chrome-corrige-d%C3%ADa-cero
- https://thehackernews.com/2023/04/google-releases-urgent-chrome-update-to.html
- https://www.theregister.com/2023/04/17/chrome_emergency_patch/