Google lanzó el martes soluciones de emergencia para abordar otra falla de día cero de alta gravedad explotada activamente en su navegador web Chrome.
La falla, rastreada como CVE-2023-2136es descrito como un caso de desbordamiento de enteros en Esquía, una biblioteca de gráficos 2D de código abierto. A Clément Lecigne del Threat Analysis Group (TAG) de Google se le atribuye el descubrimiento y la notificación de la falla el 12 de abril de 2023.
«El desbordamiento de enteros en Skia en Google Chrome anterior a 112.0.5615.137 permitió a un atacante remoto que había comprometido el proceso de representación realizar potencialmente un escape de sandbox a través de una página HTML manipulada». de acuerdo a a la base de datos de vulnerabilidad nacional (NVD) del NIST.
El gigante tecnológico, que también solucionó otros siete problemas de seguridad con la última actualización, dijo que está al tanto de la explotación activa de la falla, pero no reveló detalles adicionales para evitar más abusos.
El desarrollo marca la segunda vulnerabilidad de día cero de Chrome en ser explotada por actores malintencionados este año, y se produce apenas unos días después de que Google parchó CVE-2023-2033 la semana pasada. No está claro de inmediato si los dos días cero se han encadenado como parte de ataques en estado salvaje.
Se recomienda a los usuarios actualizar a la versión 112.0.5615.137/138 para Windows, 112.0.5615.137 para macOS y 112.0.5615.165 para Linux para mitigar posibles amenazas. También se recomienda a los usuarios de navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las correcciones a medida que estén disponibles.