Google ha implementado actualizaciones de seguridad para el navegador web Chrome para abordar una falla de día cero de alta gravedad que, según dijo, ha sido explotada en la naturaleza.
La vulnerabilidad, asignada al identificador CVE. CVE-2023-7024ha sido descrito como un error de desbordamiento del búfer basado en montón en el marco WebRTC que podría explotarse para provocar fallas del programa o la ejecución de código arbitrario.
A Clément Lecigne y Vlad Stolyarov del Grupo de Análisis de Amenazas (TAG) de Google se les atribuye el descubrimiento y el informe de la falla.
No se han publicado otros detalles sobre el defecto de seguridad para evitar mayores abusos, con Google reconociendo que «existe un exploit para CVE-2023-7024 en la naturaleza».
El desarrollo marca la resolución del octavo día cero explotado activamente en Chrome desde principios de año.
En lo que va de 2023 se han revelado un total de 26.447 vulnerabilidades, superando al año anterior en más de 1.500 CVE, según datos recopilados por Qualyscon 115 fallas explotadas por actores de amenazas y grupos de ransomware.
La ejecución remota de código, la omisión de funciones de seguridad, la manipulación del búfer, la escalada de privilegios y las fallas de validación y análisis de entradas surgieron como los principales tipos de vulnerabilidad.
Se recomienda a los usuarios actualizar a la versión 120.0.6099.129/130 de Chrome para Windows y 120.0.6099.129 para macOS y Linux para mitigar posibles amenazas.
También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.