Google lanzó el lunes parches de seguridad fuera de banda para abordar una falla de seguridad crítica en su navegador web Chrome que, según dijo, ha sido explotada en la naturaleza.
Seguimiento como CVE-2023-4863el problema ha sido descrito como un caso de desbordamiento del buffer del montón que reside en el Formato de imagen WebP eso podría resultar en la ejecución de código arbitrario o un bloqueo.
A Apple Security Engineering and Architecture (SEAR) y al Citizen Lab de la Escuela Munk de la Universidad de Toronto se les atribuye el descubrimiento y el informe de la falla el 6 de septiembre de 2023.
El gigante tecnológico aún no ha revelado detalles adicionales sobre la naturaleza del exploit, pero señaló que «es consciente de que existe un exploit para CVE-2023-4863 en la naturaleza».
Con la última solución, Google ha solucionado un total de cuatro días cero en Chrome desde principios de año.
El desarrollo se produce el mismo día en que Apple amplió las correcciones para remediar CVE-2023-41064 para los siguientes dispositivos y sistemas operativos:
CVE-2023-41064 se relaciona con un problema de desbordamiento del búfer en el componente Image I/O que podría provocar la ejecución de código arbitrario al procesar una imagen creada con fines malintencionados.
Demasiado vulnerable: descubrir el estado de la superficie de ataque a la identidad
¿Consiguió el MFA? ¿PAM? ¿Protección de la cuenta de servicio? Descubra qué tan bien equipada está realmente su organización contra las amenazas a la identidad
Según Citizen Lab, se dice que CVE-2023-41064 se usó junto con CVE-2023-41061, un problema de validación en Wallet, como parte de una cadena de exploits de iMessage sin clic llamada BLASTPASS para implementar Pegasus en sistemas totalmente iPhones parcheados con iOS 16.6.
El hecho de que tanto CVE-2023-41064 como CVE-2023-4863 dependan del procesamiento de imágenes y que Apple y Citizen Lab hayan informado de este último sugiere que podría haber una conexión potencial entre los dos.
Se recomienda a los usuarios actualizar a la versión 116.0.5845.187/.188 de Chrome para Windows y 116.0.5845.187 para macOS y Linux para mitigar posibles amenazas. También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.