Actualice Chrome por un parche para la vulnerabilidad

Comparte en ...

El miércoles, Google implementó correcciones para abordar un nuevo día cero activamente explotado en el navegador Chrome.

Registrada como CVE-2023-5217 , la vulnerabilidad de alta gravedad se ha descrito como un desbordamiento de búfer basado en montón en el formato de compresión VP8 en libvpx , una biblioteca de códecs de vídeo de software gratuito de Google y la Alliance for Open Media (AOMedia).

La explotación de tales fallas de desbordamiento del búfer puede provocar fallas del programa o la ejecución de código arbitrario, lo que afecta su disponibilidad e integridad.

A Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google se le atribuye el descubrimiento y la notificación de la falla el 25 de septiembre de 2023, y su colega investigadora Maddie Stone señaló en X (anteriormente Twitter) que un proveedor comercial de software espía había abusado de ella para apuntar a altas -individuos de riesgo.

El gigante tecnológico no ha revelado detalles adicionales aparte de reconocer que es «consciente de que existe un exploit para CVE-2023-5217 en la naturaleza».

El último descubrimiento eleva a cinco el número de vulnerabilidades de día cero en Google Chrome para las que se han lanzado parches este año.

  • CVE-2023-2033 (puntuación CVSS: 8,8): confusión de tipos en V8
  • CVE-2023-2136 (puntuación CVSS: 9,6): desbordamiento de enteros en Skia
  • CVE-2023-3079 (puntuación CVSS: 8,8): confusión de tipos en V8
  • CVE-2023-4863 (puntuación CVSS: 8,8): desbordamiento del búfer de montón en WebP

El desarrollo se produce cuando Google asignó un nuevo identificador CVE, CVE-2023-5129 , a la falla crítica en la biblioteca de imágenes libwebp, originalmente rastreada como CVE-2023-4863 , que ha sido objeto de explotación activa en la naturaleza, considerando su amplio ataque. superficie.

Se recomienda a los usuarios actualizar a la versión 117.0.5938.132 de Chrome para Windows, macOS y Linux para mitigar posibles amenazas. También se recomienda a los usuarios de navegadores basados ​​en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.

El fallo en cuestión permitiría a los criminales instalar software malicioso en los equipos de las víctimas, con los que podrían proceder a espiarles al obtener acceso a información delicada. Desde que Google descubrió la amenaza y liberó la actualización, tan solo han pasado dos días.

De hecho, se ha podido descubrir que algunos atacantes ya estaban explotando la vulnerabilidad, y por ello se ha decidido no compartir más información hasta que un número importante de usuarios hayan instalado la actualización que subsana el error. Dicha actualización ya se encuentra disponible para todos los usuarios del navegador en su versión dirigida a plataformas de escritorio.

 

¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter LinkedIn para leer más contenido que publicamos o contáctanos.

Comparte en ...
Scroll al inicio