Actualice Chrome ahora: Google lanza un parche para la vulnerabilidad de día cero explotada activamente

El miércoles, Google implementó correcciones para abordar un nuevo día cero activamente explotado en el navegador Chrome.

Registrada como CVE-2023-5217 , la vulnerabilidad de alta gravedad se ha descrito como un desbordamiento de búfer basado en montón en el formato de compresión VP8 en libvpx , una biblioteca de códecs de vídeo de software gratuito de Google y la Alliance for Open Media (AOMedia).

La explotación de tales fallas de desbordamiento del búfer puede provocar fallas del programa o la ejecución de código arbitrario, lo que afecta su disponibilidad e integridad.

A Clément Lecigne del Grupo de Análisis de Amenazas (TAG) de Google se le atribuye el descubrimiento y la notificación de la falla el 25 de septiembre de 2023, y su colega investigadora Maddie Stone señaló en X (anteriormente Twitter) que un proveedor comercial de software espía había abusado de ella para apuntar a altas -individuos de riesgo.

El gigante tecnológico no ha revelado detalles adicionales aparte de reconocer que es «consciente de que existe un exploit para CVE-2023-5217 en la naturaleza».

El último descubrimiento eleva a cinco el número de vulnerabilidades de día cero en Google Chrome para las que se han lanzado parches este año.

CVE-2023-2033 (puntuación CVSS: 8,8): confusión de tipos en V8
CVE-2023-2136 (puntuación CVSS: 9,6): desbordamiento de enteros en Skia
CVE-2023-3079 (puntuación CVSS: 8,8): confusión de tipos en V8
CVE-2023-4863 (puntuación CVSS: 8,8): desbordamiento del búfer de montón en WebP

El desarrollo se produce cuando Google asignó un nuevo identificador CVE, CVE-2023-5129 , a la falla crítica en la biblioteca de imágenes libwebp, originalmente rastreada como CVE-2023-4863 , que ha sido objeto de explotación activa en la naturaleza, considerando su amplio ataque. superficie.

Se recomienda a los usuarios actualizar a la versión 117.0.5938.132 de Chrome para Windows, macOS y Linux para mitigar posibles amenazas. También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.

Fuente y redacción: thehackernews.com

Sale actualización de emergencia de Google Chrome que corrige vulnerabilidad 0-Day explotada en ciberataques

Google gana el juicio contra Oracle

500 extensiones de Chrome atrapadas robando datos privados de 1.7 millones de usuarios.