Google ha lanzado actualizaciones de seguridad para abordar varias vulnerabilidades en su motor de búsqueda Chrome, entre las cuales se tiene una catalogada como Zero Day, misma que está siendo activamente explotada.
La vulnerabilidad identificada como CVE-2023-6345 y catalogada con severidad ALTA aún no dispone de un CVSS, se describe como un error de desbordamiento de enteros (integer overflow) en Skia, una biblioteca de gráficos 2D de código abierto. Esta falla podría generar una variedad de riesgos, incluso podría permitir la ejecución de código arbitrario. La biblioteca Skia también se utiliza como motor gráfico en otros productos como ChromeOS, Android y Flutter.
Google ha declarado que los detalles del Zero Day pueden permanecer restringidos hasta que la mayoría de los usuarios hayan actualizado su navegador.
A continuación, se muestran otras vulnerabilidades corregidas en el reciente parche de actualización.
- CVE-2023-6348 (ALTA): Type Confusion en Spellcheck.
- CVE-2023-6347 (ALTA): Use-after-free (UAF) en Mojo.
- CVE-2023-6346 (ALTA): Use-after-free (UAF) en WebAudio.
- CVE-2023-6350 (ALTA): Out of bounds memory access en libavif.
- CVE-2023-6351 (ALTA): Use-after-free (UAF) en libavif.
UAF es una vulnerabilidad relacionada con el uso incorrecto de la memoria dinámica durante la operación del programa.
Con la más reciente actualización, la compañía tecnológica líder ha corregido un total de seis vulnerabilidades de día cero en Chrome desde el inicio del año.
- CVE-2023-2136 (CVSS: 9.6): Integer overflow en Skia.
- CVE-2023-2033 (CVSS: 8.8): Type confusion en V8.
- CVE-2023-3079 (CVSS: 8.8): Type confusion en V8.
- CVE-2023-4762 (CVSS: 8.8): Type confusion en V8.
- CVE-2023-4863 (CVSS: 8.8): Heap buffer overflow en WebP.
- CVE-2023-5217 (CVSS: 8.8): Heap buffer overflow en codificación vp8 en libvpx.
Productos Afectados
- Windows – versiones anteriores a 119.0.6045.199/.200 de Chrome.
- Linux/macOS – versiones anteriores a 119.0.6045.199 de Chrome.
Solución
- Actualizar a la versión 119.0.6045.199/.200 de Chrome para Windows y 119.0.6045.199 para macOS y Linux que abordan estas vulnerabilidades. Mantener el software actualizado es esencial para garantizar la seguridad y el rendimiento óptimo de su navegador.
Recomendación
- Implementar el último parche de seguridad para abordar estas vulnerabilidades. Mantener el software actualizado es esencial para garantizar la seguridad y el rendimiento óptimo de su navegador.
Referencias:
- https://vulnera.com/newswire/google-chrome-rolls-out-urgent-security-update-to-address-6th-zero-day-exploit-in-2023/
- https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html
- https://thehackernews.com/2023/11/zero-day-alert-google-chrome-under.html
- https://www.helpnetsecurity.com/2023/11/29/cve-2023-6345/