El 18 de abril de 2023, Google lanzó una nueva actualización para las versiones de Chrome Desktop con actualizaciones de seguridad para la segunda vulnerabilidad de día cero de Chrome explotada activamente que permite a los atacantes ejecutar un código arbitrario para tomar el control completo del sistema de forma remota.
CVE-2023-2136 es un error de desbordamiento de enteros que los actores de amenazas ahora han explotado en la naturaleza.
Google lanzó recientemente una actualización para el primer día cero de Chrome este año. Una semana después, se descubrió, arregló y lanzó el parche para el segundo día cero.
Lanzamiento del canal de actualización estable
Google ha lanzado una versión fija de Chrome en las siguientes plataformas.
- Versión de Windows: 112.0.5615.137/138
- Versión Mac: 112.0.5615.137
- Versión de Linux: 112.0.5615.165
Clément Lecigne, que trabaja en el Grupo de análisis de amenazas (TAG) de Google, informó el primer día cero de Google el 11 de abril de 2023.
Informó el segundo día cero el 12 de abril de 2023, un día antes del primer día cero.
La versión parcheada viene con 8 correcciones de errores abrumadoras, como lo menciona Google.
- Alto CVE-2023-2133: Acceso a memoria fuera de los límites en la API de Service Worker. Reportado por Rong Jian de VRI el 2023-03-30.
- Alto CVE-2023-2134: Acceso a la memoria fuera de los límites en la API de Service Worker. Reportado por Rong Jian de VRI el 2023-03-30.
- Alto CVE-2023-2135: Usar después de gratis en DevTools. Informado por Cassidy Kim(@cassidy6564) el 2023-03-14.
- Alta CVE-2023-2136: Desbordamiento de enteros en Skia . Informado por Clément Lecigne del Grupo de Análisis de Amenazas de Google el 2023-04-12 ( Explotado en la naturaleza ).
- Medio CVE-2023-2137: Desbordamiento de búfer de almacenamiento dinámico en SQLite. Informado por Nan Wang(@eternalsakura13) y Guang Gong del 360 Vulnerability Research Institute el 2023-04-05.
Se han otorgado recompensas a los investigadores de seguridad anteriores, que oscilan entre $ 3000 y $ 8000. Google no ha publicado ningún otro detalle sobre esta vulnerabilidad.
“Google es consciente de que existe un exploit para CVE-2023-2136 en estado salvaje. El acceso a los detalles de errores y enlaces puede estar restringido hasta que la mayoría de los usuarios se actualicen con una corrección.
También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se han solucionado. Google dice .
Este nuevo día cero se aprovecha en Skia, una biblioteca de gráficos 2D que la mayoría de los desarrolladores web utilizan para crear excelentes experiencias web y gráficos de alta calidad.
Actualizar ahora Google Chrome
Para abordar el problema de seguridad explotado activamente, los siguientes son los pasos que debe seguir para iniciar el proceso manual de actualización de Chrome a la última versión:-
- En primer lugar, abra el menú de configuración de Chrome en la esquina superior derecha.
- Luego tienes que seleccionar la opción “Ayuda”.
- Ahora seleccione la opción «Acerca de Google Chrome».
- Ahora, su Chrome buscará la última actualización disponible y la descargará.
Por lo tanto, para evitar una mayor explotación, se recomienda enfáticamente que los usuarios apliquen la actualización disponible tan pronto como esté disponible.
Google ha pedido a sus usuarios que actualicen la versión de Chrome lo antes posible.
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.