[17/04/2023] Google ha publicado una actualización de seguridad de emergencia de Chrome para solucionar una vulnerabilidad de día cero dirigida por un exploit, ya en circulación en Internet, que puede permitir la ejecución de código malicioso.
Google insta a los usuarios a actualizar Chrome a la nueva versión, 112.0.5615.121, lo antes posible. La versión actualizada soluciona la vulnerabilidad, que afecta a los sistemas Windows, Mac y Linux, y figura como CVE-2023-2033 en la Base de Datos Nacional de Vulnerabilidades de Estados Unidos.
Mientras tanto, la actualización se desplegará en las próximas semanas en el canal de escritorio estable de Google, según informó la empresa.
Google describió la vulnerabilidad de alta gravedad como un problema de "confusión de tipos" en el motor JavaScript V8. Google Chrome V8 es el motor JavaScript y WebAssembly de código abierto de Google.
"Google es consciente de que existe un exploit para CVE-2023-2033", declaró Google en un comunicado el 14 de abril.
El NIST, la agencia del Departamento de Comercio de EE.UU. que gestiona la Base de Datos Nacional de Vulnerabilidades, fue más allá en su descripción del CVE sobre la vulnerabilidad. "La confusión de tipo en V8 en Google Chrome antes de 112.0.5615.121 permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada", señaló el NIST.
Google aún no ha publicado todos los detalles sobre la vulnerabilidad. "El acceso a los detalles de la falla y a los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución", afirmó Google en su comunicado.
Cómo actualizar Chrome
Para actualizar Chrome, los usuarios deben hacer clic en el menú con tres puntos situado a la derecha de la barra de menús y, a continuación, ir a Ayuda y Acerca de Google Chrome. Chrome buscará actualizaciones del navegador y, por defecto, actualizará automáticamente el navegador. Una vez actualizado, los usuarios deben reiniciar el navegador.
Clement Lecigne, del Grupo de Análisis de Amenazas de Google, identificó la vulnerabilidad y notificó el problema el 11 de abril. Además de corregir CVE-2023-2033, la actualización de Chrome también corrige una serie de problemas detectados durante auditorías internas y otras iniciativas, señaló la compañía.
Se trata de la primera vulnerabilidad de día cero detectada en Chrome este año. En diciembre, Google publicó una actualización para Chrome después de que se identificara una vulnerabilidad de confusión de tipo diferente en V8.
Un error de confusión de tipo se produce cuando un programa utiliza un tipo de método para asignar o inicializar un recurso, pero utiliza otro método para acceder a ese recurso, lo que lleva a un acceso a memoria fuera de los límites, según la empresa de ciberseguridad NSFocus, en una alerta que envió sobre la actualización de Chrome de diciembre. "Convenciendo a un usuario para que visite un sitio web especialmente diseñado, un atacante remoto podría lograr en última instancia la ejecución de código arbitrario o provocar una denegación de servicio en el sistema", señaló NSFocus.
El año pasado se identificaron 9 vulnerabilidades de día cero en Chrome.
En el 2022, el número de vulnerabilidades de código abierto conocidas aumentó un 4% con respecto al 2021, según un informe de Synopsys. Se detectó al menos una vulnerabilidad de código abierto conocida en el 84% de todas las bases de código comerciales y propietarias examinadas por los investigadores, y el 48% de todas las bases de código analizadas contenían vulnerabilidades de alto riesgo.
Basado en el artículo de Apurva Venkat (CSO) y editado por CIO Perú