Después de un parche de día cero de alta gravedad, Google solucionó otra vulnerabilidad grave de día cero en su navegador Chrome. Los usuarios deben actualizar sus respectivos dispositivos para recibir el parche.
Otro Google Chrome de día cero tiene un parche
Google acaba de lanzar otra actualización importante de Chrome que contiene varias correcciones de seguridad unos días después de corregir el error de confusión de tipo atacado. Con la última versión de Chrome 112.0.5615.137, Google también lanzó un parche de día cero junto con otros parches.
Como se mencionó en su revisión, la última versión de Chrome incluye ocho parches de seguridad diferentes. De estos, la vulnerabilidad de día cero incluye un desbordamiento de enteros de alta gravedad en Skia de Chrome, una biblioteca de gráficos 2D que sirve como motor de gráficos para el navegador.
Aunque Google no reveló detalles explícitos sobre la falla para evitar posibles ataques. Sin embargo, confirmó haber detectado una explotación activa de la falla CVE-2023-2136.
Esta vulnerabilidad de día cero llamó por primera vez la atención de Clément Lecigne del Grupo de Análisis de Amenazas de Google.
Además de esta vulnerabilidad, Google parchó otras tres vulnerabilidades muy graves. De estos, dos incluyen acceso a memoria fuera de los límites en la API de Service Worker (CVE-2023-2133 y CVE-2023-2134). Estas vulnerabilidades llamaron la atención del investigador de VRI Rong Jian, cada una de las cuales ganó una recompensa de $ 8,000 por el informe.
El tercer parche de vulnerabilidad abordó una falla de uso posterior al lanzamiento en Chrome DevTools (CVE-2023-2135). Esta vulnerabilidad llamó la atención de Cassidy Kim de Amber Security Lab, OPPO Mobile Telecommunications Corp. limitado. Informar esta vulnerabilidad le valió a Kim una recompensa de $ 4,000.
Junto con estos tres errores importantes, la última versión de Chrome también corrigió un desbordamiento de búfer de almacenamiento dinámico de gravedad media en Chrome SQLite. Reportar la falla le valió a los investigadores Nan Wang y Guang Gong del 360 Vulnerability Research Institute una recompensa de $1,000.
Google no especificó las otras cuatro correcciones de vulnerabilidades incluidas en esta actualización de Chrome. En cambio, la declaración de una línea en su aviso simplemente abordó ciertas correcciones como resultado del trabajo de seguridad interna.
El gigante tecnológico ha implementado automáticamente estos parches de seguridad con el canal estable extendido 112.0.5615.137/138 de Chrome para Windows y 112.0.5615.137 para Mac, prometiendo una versión parcheada pronto para los usuarios de Linux.
Además, solucionó las mismas vulnerabilidades de seguridad con Google Chrome para la versión 112 de Android (112.0.5615.135/.136), como se confirmó a través de otro aviso. Los usuarios de Android obtendrán esta actualización de la Play Store oficial.
