Google Afectado Por Múltiples Vulnerabilidades En Chrome
El pasado 18 de abril de 2023, Google informó de 8 vulnerabilidades 0-day que afectan principalmente a su famoso buscador «Google Chrome».
Google ofrece detalles sobre los CVE’s corregidos en la nueva versión estable de Chrome, numerada 112.0.5615.137/138 para Windows, 112.0.5615.137 para Mac y 112.0.5615.165 para Linux. La actualización incluye 8 correcciones de seguridad, algunas de las cuales fueron notificadas por investigadores externos.
Una de las vulnerabilidades de alta gravedad corregidas en esta actualización es el CVE-2023-2133, que está relacionado con el acceso a memoria fuera de los límites (Out of bounds memory access) en la API Service Worker. Esta vulnerabilidad se reportó por Rong Jian de VRI el 30-03-2023, y tiene asignada una recompensa de 8000 dólares. También se fijó como vulnerabilidad grave el CVE-2023-2134, igualmente relacionado con el acceso a memoria fuera de los límites en la API Service Worker, también reportado por Rong Jian el mismo día.
Otra grave vulnerabilidad corregida en esta actualización es el CVE-2023-2135, relacionado con UAF (Use-After-Free) en DevTools. Esta vulnerabilidad se reportó por Cassidy Kim el 14-03-2023, y tiene asignada una recompensa de 3000 dólares.
La actualización también corrige una vulnerabilidad de gravedad media, CVE-2023-2137, relacionada con un «heap buffer overflow» en SQLite. Esta vulnerabilidad se reportó por Nan Wang y Guang Gong de 360 Vulnerability Research Institute el 05-04-2023, y tiene asignada una recompensa de 1000 dólares.
Por último, tenemos el CVE-2023-2136, fijado con un nivel de criticidad grave, relacionada con un «integer overflow» en Skia, qué es una biblioteca de gráficos de código abierto desarrollada por Google que se utiliza como motor de gráfico para productos como Google Chrome, Chrome OS, Android, Flutter, Mozilla Firefox y Firefox OS entre otros, para la cuál existe un exploit público.
Clément Lecigne del Grupo de Análisis de Amenazas de Google reportó la vulnerabilidad el 12-04-2023.
Recomendaciones
Vale la pena señalar que Google es consciente de la existencia de un exploit para el CVE-2023-2136, por lo que es muy aconsejable la actualización del navegador Chrome a su última versión en todos los sistemas.
De esta forma se podrán minimizar los riesgos de sufrir un ataque por parte de un cibercriminal, y así tener nuestra información más protegida.
Más información
- Google. (2023b, abril 18). Stable Channel Update for Desktop. Chrome Releases. https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_18.html
Via: unaaldia.hispasec.com