Home Sociedad Google corrige el sexto error de día cero del año en Chrome

Google corrige el sexto error de día cero del año en Chrome

Google ha lanzado una actualización para Chrome para corregir varias vulnerabilidades nuevas, incluida una de alta gravedad que actualmente está siendo explotada.

La vulnerabilidad en cuestión, CVE-2023-6345, aparece como un problema de desbordamiento de enteros en Skia, una biblioteca de gráficos 2D de código abierto escrita en C++.

“Google es consciente de que existe un exploit para CVE-2023-6345”, dijo el gigante tecnológico.

La vulnerabilidad fue informada por Benoît Sevens y Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google el 24 de noviembre. Eso sugeriría que la falla de día cero podría estar relacionada con la entrega de software espía comercial.

El TAG suele participar en el seguimiento de dichas amenazas, en particular de los ataques patrocinados por el Estado contra personas como disidentes y activistas que los regímenes autocráticos quieren monitorear de forma encubierta.

En septiembre, por ejemplo, Lecigne de TAG informó sobre otro error de día cero de alta gravedad en Chrome bajo explotación que fue parcheado en la versión 117.0.5938.132. Su colega Maddie Stone confirmó que la vulnerabilidad estaba “utilizada por un proveedor de vigilancia comercial”.

Google dijo que el acceso a los detalles de la vulnerabilidad “puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución”, o si existe en una biblioteca de terceros de la que dependen otros proyectos pero que aún no han solucionado.

Las otras vulnerabilidades enumeradas en esta actualización son todas de alta gravedad:

CVE-2023-6348 es un problema de confusión de tipos en el corrector ortográfico

CVE-2023-6347 es una vulnerabilidad de uso después de liberar en Mojo

CVE-2023-6346 es un error de uso después de la liberación en WebAudio

CVE-2023-6350 es un problema de acceso a la memoria fuera de los límites en la biblioteca de códecs libavif

CVE-2023-6351 es un error de uso después de la liberación en libavif