«Google es consciente de que existe un exploit para CVE-2023-4863», dijo la compañía en un aviso, pero se abstuvo de detallar la naturaleza precisa del mismo.
Los usuarios de los canales estable y estable extendido serán los primeros en recibir la actualización. Google dijo que otros usuarios recibirán el parche en los próximos días y semanas.
Google describió la vulnerabilidad, rastreada como CVE-2023-4863, como un desbordamiento de búfer en WebP. En otras palabras, demasiados datos iban a un área de almacenamiento temporal, lo que potencialmente permitía que un actor de amenazas aprovechara la falla para la ejecución de código arbitrario (esencialmente, para montar un ciberataque).
El error que afecta a Chrome fue informado por Apple Security Engineering and Architecture (SEAR) y Citizen Lab en la Escuela Munk de la Universidad de Toronto el 9 de septiembre, dijo Google.
«También nos gustaría agradecer a todos los investigadores de seguridad que trabajaron con nosotros durante el ciclo de desarrollo para evitar que los errores de seguridad lleguen al canal estable», se lee en el aviso del gigante tecnológico.
El último día cero de Chrome es el cuarto de su tipo que Google ha tenido que solucionar este año después de que el gigante tecnológico parcheara CVE-2023-2033, CVE-2023-2136 y CVE-2023-3079.
La semana pasada, Citizen Lab descubrió una vulnerabilidad de cero clic que afecta a los dispositivos Apple. «Clic cero» significa que el objetivo no tiene que tocar ni hacer clic en nada para desencadenar el ataque. Según los investigadores, la vulnerabilidad se utilizó para distribuir el software espía Pegasus de NSO Group.
El Proyecto Pegasus reveló que el software espía, fabricado y autorizado por NSO Group, se había utilizado en intentos y éxitos de piratería de teléfonos inteligentes pertenecientes a periodistas, funcionarios gubernamentales y activistas de derechos humanos.
Fuente y redacción: underc0de.org
