Google soluciona otro día cero de emergencia en Chrome

hace 3 meses

000000094983.jpg

El parche de seguridad publicado por Google se puede aplicar de forma inmediata. Se trata de siete vulnerabilidades en Chrome, incluida una del tipo día cero. La empresa precisa que es consciente de que este defecto ya ha sido aprovechado.

Esta es la sexta vulnerabilidad de día cero descubierta este año en Chrome. Google acaba de lanzar un parche importante para corregir este fallo pero también otros seis considerados muy importantes. Esta vulnerabilidad de desbordamiento de enteros, catalogada como CVE-2023-6345, se encuentra en Skia, una biblioteca de gráficos 2D de código abierto que permite representar páginas web en Google Chrome.

Fueron los investigadores Benoît Sevens y Clément Lecigne del grupo de análisis de amenazas de Google quienes informaron de ello el 24 de noviembre. En detalle, un defecto en la gestión de la memoria en el componente "Skia" del navegador permite a un atacante no autenticado, persuadiendo a una víctima a consultar un sitio web específicamente diseñado. sitio web, ejecutar código arbitrario o provocar una denegación de servicio, indica el CERT Santé en su página web específica.

Otros seis defectos importantes

En este parche también se corrigen otras seis fallas. Todos tienen una calificación de "alto" desde una perspectiva de riesgo y algunos han sido marcados en el Programa de recompensa por vulnerabilidad de Chrome. Así encontramos CVE-2023-6348, una confusión de tipos en la revisión ortográfica, reportada por Mark Brand de Google Project Zero el 10 de octubre. La brecha CVE-2023-6347 en Mojo fue reportada por Leecraso y Guang Gong de 360 ​​Vulnerability. Research Institute el 21 de octubre y resultó en una recompensa de 31.000 dólares. Otro más, denominado CVE-2023-6346, se cuela en WebAudio. Fue informado por Huang Xilin del laboratorio de seguridad Ant Group Light-Year el 9 de noviembre con una recompensa de 10.000 dólares.

Finalmente, dos vulnerabilidades resultaron en una recompensa de 7.000 dólares. Estos son CVE-2023-6350 relacionado con el acceso a memoria fuera de los límites en libavif, informado por la Universidad de Fudan y CVE-2023-6351 que también afecta a libavif. Evidentemente, Google insta a los usuarios a aplicar este parche de inmediato y asegurarse de que están utilizando la última versión de Chrome, ya sea en Windows, Mac o Linux, porque la vulnerabilidad afecta a todas las versiones. Los usuarios cuya versión de Chrome no esté configurada para permitir actualizaciones automáticas deben actualizar manualmente su instalación.

Si quieres conocer otros artículos parecidos a Google soluciona otro día cero de emergencia en Chrome puedes visitar la categoría Otros.

Otras noticias que te pueden interesar

Subir