El miércoles, Google implementó correcciones para abordar un nuevo día cero activamente explotado en el navegador Chrome.
Registrada como CVE-2023-5217 , la vulnerabilidad de alta gravedad se ha descrito como un desbordamiento de búfer basado en montón en el formato de compresión VP8 en libvpx , una biblioteca de códecs de vídeo de software gratuito de Google y la Alliance for Open Media (AOMedia).
La explotación de tales fallas de desbordamiento del búfer puede provocar fallas del programa o la ejecución de código arbitrario, lo que afecta su disponibilidad e integridad.
A Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google se le atribuye el descubrimiento y la notificación de la falla el 25 de septiembre de 2023, y su colega investigadora Maddie Stone señaló en X (anteriormente Twitter) que un proveedor comercial de software espía había abusado de ella para apuntar a altas -individuos de riesgo.
El gigante tecnológico no ha revelado detalles adicionales aparte de reconocer que es «consciente de que existe un exploit para CVE-2023-5217 en la naturaleza».
El último descubrimiento eleva a cinco el número de vulnerabilidades de día cero en Google Chrome para las que se han lanzado parches este año.
- CVE-2023-2033 (puntuación CVSS: 8,8): confusión de tipos en V8
- CVE-2023-2136 (puntuación CVSS: 9,6): desbordamiento de enteros en Skia
- CVE-2023-3079 (puntuación CVSS: 8,8): confusión de tipos en V8
- CVE-2023-4863 (puntuación CVSS: 8,8): desbordamiento del búfer de montón en WebP
El desarrollo se produce cuando Google asignó un nuevo identificador CVE, CVE-2023-5129 , a la falla crítica en la biblioteca de imágenes libwebp, originalmente rastreada como CVE-2023-4863 , que ha sido objeto de explotación activa en la naturaleza, considerando su amplio ataque. superficie.
Se recomienda a los usuarios actualizar a la versión 117.0.5938.132 de Chrome para Windows, macOS y Linux para mitigar posibles amenazas. También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.
Fuente y redacción: thehackernews.com