Clicky

Alerta de día cero: Google Chrome bajo ataque activo que explota una nueva vulnerabilidad

día cero en Google Chrome

Se recomienda a los usuarios actualizar a la última versión de Chrome

Google ha implementado actualizaciones de seguridad para solucionar siete problemas de seguridad en su navegador Chrome, incluido un día cero que ha sido objeto de explotación activa en la naturaleza.

Registrada como CVE-2023-6345, la vulnerabilidad de alta gravedad se ha descrito como un error de desbordamiento de enteros en Skia, una biblioteca de gráficos 2D de código abierto.

A Benoît Sevens y Clément Lecigne del Grupo de análisis de amenazas (TAG) de Google se les atribuye el descubrimiento y el informe de la falla el 24 de noviembre de 2023.

Como suele ser el caso, el gigante de las búsquedas reconoció que "existe en la naturaleza un exploit para CVE-2023-6345", pero no llegó a compartir información adicional sobre la naturaleza de los ataques y los actores de amenazas que pueden estar utilizándolos como armas en ataques del mundo real.

Vale la pena señalar que en abril de 2023 Google lanzó parches para una falla de desbordamiento de enteros similar en el mismo componente (CVE-2023-2136) que también había sido objeto de explotación activa como día cero, lo que plantea la posibilidad de que CVE-2023-6345 pudiera ser un parche para el primero.

Se dice que CVE-2023-2136 "permitió a un atacante remoto que había comprometido el proceso de renderizado realizar potencialmente un escape de la zona de pruebas a través de una página HTML diseñada".

actualización de Google Chrome

Se recomienda a los usuarios actualizar a la versión 119.0.6045.199/.200 de Chrome para Windows y 119.0.6045.199 para macOS y Linux para mitigar posibles amenazas. También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.