Se recomienda a los usuarios que actualicen a la versión 112.0.5615.121
Google lanzó el viernes actualizaciones fuera de programa para resolver una falla de día cero explotada activamente en su navegador web Chrome, lo que la convierte en la primera falla de este tipo que se soluciona desde principios de año.
Rastreada como CVE-2023-2033, la vulnerabilidad de alta gravedad se ha descrito como un problema de confusión de tipos en el motor JavaScript V8. A Clement Lecigne, del Threat Analysis Group (TAG) de Google, se le atribuye la denuncia del problema el 11 de abril de 2023.
"La confusión de tipos en V8 en Google Chrome antes de 112.0.5615.121 permitió a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada", según la Base de datos de vulnerabilidad nacional (NVD) del NIST.
El gigante tecnológico reconoció que "existe un exploit para CVE-2023-2033", pero no llegó a compartir detalles técnicos adicionales o indicadores de compromiso (IoC) para evitar una mayor explotación por parte de los actores de amenazas.
CVE-2023-2033 también parece compartir similitudes con CVE-2022-1096, CVE-2022-1364, CVE-2022-3723 y CVE-2022-4262: otras cuatro fallas de confusión de tipos de las que se abusó activamente en V8 que fueron remediadas por Google en 2022.
Google corrigió el año pasado un total de nueve días cero en Chrome. El desarrollo se produce días después de que Citizen Lab y Microsoft revelaran la explotación de una falla ahora parcheada en Apple iOS por parte de los clientes de un proveedor de spyware en la sombra llamado QuaDream para apuntar a periodistas, figuras de la oposición política y un trabajador de una ONG en 2021.
Se recomienda a los usuarios que actualicen a la versión 112.0.5615.121 para Windows, macOS y Linux para mitigar posibles amenazas. También se recomienda a los usuarios de navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las correcciones a medida que estén disponibles.
