Ciberseguridad 360 | Vulnerabilidad Zero-Day en Google Chrome

Google ha corregido la sexta vulnerabilidad Zero-Day de Chrome en lo que va de a�o en una actualizaci�n de seguridad de emergencia publicada hoy para contrarrestar la continua explotaci�n en ataques.

La empresa ha reconocido la existencia de un exploit para el fallo de seguridad (rastreado como CVE-2023-6345) en un nuevo aviso de seguridad publicado hoy.

"Google es consciente de que existe un exploit para CVE-2023-6345 en la naturaleza", dijo la compa��a.

La vulnerabilidad se ha corregido en el canal Stable Desktop, y las versiones parcheadas se han distribuido globalmente a los usuarios de Windows (119.0.6045.199/.200) y Mac y Linux (119.0.6045.199).

Aunque el aviso advierte de que la actualizaci�n de seguridad puede tardar d�as o semanas en llegar a toda la base de usuarios, estaba disponible inmediatamente cuando BleepingComputer comprob� las actualizaciones a primera hora de hoy.

Los usuarios que no deseen actualizar manualmente pueden confiar en que el navegador web buscar� nuevas actualizaciones autom�ticamente y las instalar� tras el pr�ximo lanzamiento.

Probable explotaci�n en ataques de spyware

Esta vulnerabilidad zero-day de alta gravedad se deriva de una debilidad de desbordamiento de enteros en la biblioteca de gr�ficos 2D de c�digo abierto Skia, lo que plantea riesgos que van desde bloqueos hasta la ejecuci�n de c�digo arbitrario (Skia tambi�n se utiliza como motor gr�fico en otros productos como ChromeOS, Android y Flutter).

El fallo fue notificado el viernes 24 de noviembre por Beno�t Sevens y Cl�ment Lecigne, dos investigadores de seguridad del Grupo de An�lisis de Amenazas (TAG) de Google.

El TAG de Google es conocido por descubrir "zero-days", a menudo explotados por grupos de piratas inform�ticos patrocinados por el Estado en campa�as de espionaje dirigidas a personas de alto perfil, como periodistas y pol�ticos de la oposici�n.

La empresa ha declarado que el acceso a los detalles del zero-day permanecer� restringido hasta que la mayor�a de los usuarios hayan actualizado sus navegadores. Si el fallo afecta tambi�n a software de terceros que a�n no haya sido parcheado, se ampliar� la limitaci�n de acceso a los detalles y enlaces del fallo.

"El acceso a los detalles y enlaces de los fallos puede mantenerse restringido hasta que la mayor�a de los usuarios se actualicen con una soluci�n. Tambi�n mantendremos las restricciones si el fallo existe en una biblioteca de terceros de la que dependen otros proyectos similares, pero que a�n no se ha corregido", afirma la empresa.

Con ello se pretende reducir la probabilidad de que los actores de amenazas desarrollen sus propios exploits CVE-2023-6345, aprovechando la informaci�n t�cnica reci�n publicada sobre la vulnerabilidad.

En septiembre, Google solucion� otros dos zero-days (rastreados como CVE-2023-5217 y CVE-2023-4863) explotados en ataques, el cuarto y el quinto desde principios de 2023.

Fuente: bleepingcomputer