El miércoles, Google implementó correcciones para abordar un nuevo día cero activamente explotado en el navegador Chrome.
Seguimiento como CVE-2023-5217la vulnerabilidad de alta gravedad ha sido descrita como una desbordamiento de buffer basado en montón en el formato de compresión VP8 en libvpxun software gratuito códec de vídeo biblioteca de Google y la Alliance for Open Media (AOMedia).
La explotación de tales fallas de desbordamiento del búfer puede provocar fallas del programa o la ejecución de código arbitrario, lo que afecta su disponibilidad e integridad.
A Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google se le atribuye el descubrimiento y el informe de la falla el 25 de septiembre de 2023, con su colega investigadora Maddie Stone. observando en X (anteriormente Twitter) que un proveedor comercial de software espía ha abusado de él para apuntar a personas de alto riesgo.
El gigante tecnológico no ha revelado detalles adicionales aparte de reconocer que es «consciente de que existe un exploit para CVE-2023-5217 en la naturaleza».
El último descubrimiento eleva a cinco el número de vulnerabilidades de día cero en Google Chrome para las que se han lanzado parches este año.
El desarrollo se produce cuando Google asignó un nuevo identificador CVE, CVE-2023-5129, a la falla crítica en la biblioteca de imágenes libwebp, originalmente rastreada como CVE-2023-4863, que ha sido objeto de explotación activa en la naturaleza, considerando su amplio ataque. superficie.
Se recomienda a los usuarios actualizar a la versión 117.0.5938.132 de Chrome para Windows, macOS y Linux para mitigar posibles amenazas. También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.