Google ha implementado actualizaciones de seguridad para solucionar siete problemas de seguridad en su navegador Chrome, incluido un día cero que ha sido objeto de explotación activa en la naturaleza.
Seguimiento como CVE-2023-6345la vulnerabilidad de alta gravedad se describió como un error de desbordamiento de enteros en Skia, una biblioteca de gráficos 2D de código abierto.
A Benoît Sevens y Clément Lecigne del Grupo de análisis de amenazas (TAG) de Google se les atribuye el descubrimiento y el informe de la falla el 24 de noviembre de 2023.
Como suele ser el caso, el gigante de las búsquedas admitido que “existe un exploit para CVE-2023-6345 en la naturaleza”, pero no compartió información adicional sobre la naturaleza de los ataques y los actores de amenazas que pueden estar utilizándolo como arma en ataques del mundo real.
Vale la pena señalar que Google lanzó parches para una falla de desbordamiento de enteros similar en el mismo componente (CVE-2023-2136) en abril de 2023 que también había sido objeto de explotación activa como día cero, lo que plantea la posibilidad de que CVE-2023-6345 pudiera ser un parche para el primero.
Se dice que CVE-2023-2136 “permitió a un atacante remoto que había comprometido el proceso de renderizado realizar potencialmente un escape de la zona de pruebas a través de una página HTML diseñada”.
Con la última actualización, el gigante tecnológico ha solucionado un total de seis días cero en Chrome desde principios de año.
Se recomienda a los usuarios actualizar a la versión 119.0.6045.199/.200 de Chrome para Windows y 119.0.6045.199 para macOS y Linux para mitigar posibles amenazas. También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.