Google es consciente de que existe un exploit para CVE-2023-2033″, dijo el gigante de las búsquedas en un aviso de seguridad publicado el viernes.
La nueva versión se está implementando para los usuarios en el canal Stable Desktop y llegará a toda la base de usuarios en los próximos días o semanas.
Los usuarios de Chrome deben actualizar a la versión 112.0.5615.121 lo antes posible, ya que soluciona la vulnerabilidad CVE-2023-2033 en los sistemas Windows, Mac y Linux.
Esta actualización está disponible de inmediato.
El navegador web también buscará automáticamente nuevas actualizaciones y las instalará sin necesidad de interacción del usuario después de un reinicio.
La vulnerabilidad de día cero de alta gravedad (CVE-2023-2033) se debe a una debilidad de confusión de tipo de alta gravedad en el motor de JavaScript Chrome V8.
El error fue informado por Clement Lecigne del Threat Analysis Group (TAG) de Google, cuyo objetivo principal es defender a los clientes de Google de los ataques patrocinados por el estado.
Google TAG descubre e informa con frecuencia errores de día cero explotados en ataques altamente dirigidos por actores de amenazas patrocinados por el gobierno que buscan instalar software espía en dispositivos de personas de alto riesgo, incluidos periodistas, políticos de la oposición y disidentes en todo el mundo.
Aunque las fallas de confusión de tipos generalmente permitirían a los atacantes provocar bloqueos del navegador después de una explotación exitosa al leer o escribir memoria fuera de los límites del búfer, los actores de amenazas también pueden explotarlos para la ejecución de código arbitrario en dispositivos comprometidos.
Si bien Google dijo que conoce las vulnerabilidades de día cero CVE-2023-2033 utilizadas en los ataques, la compañía aún no ha compartido más información sobre estos incidentes.
«El acceso a los detalles de errores y enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución», dijo Google.
«También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se han solucionado».
Esto permitirá a los usuarios de Google Chrome actualizar sus navegadores y bloquear los intentos de ataque hasta que se publiquen los detalles técnicos, lo que permitirá que más actores de amenazas desarrollen sus propias vulnerabilidades.
Fuente y redacción: underc0de.org
