Otro Zero-Day en Chrome (Parchea!)

Hace solo unos días, Google lanzó una actualización de emergencia para Chrome que solucionó una vulnerabilidad que se estaba explotando activamente.

Menos de una semana después, llegó una segunda actualización para otro Zero-Day que se está explotando in-the-wild.

La actualización 112.0.5615.137 para Chrome corrige ocho fallas de seguridad, incluida al menos una que puede haber sido aprovechada activamente. Esta vulnerabilidad (CVE-2023-2136) se describe como un desbordamiento de enteros en  la librería multiplataforma de gráficos 2D Skia y aparece como un error de alto riesgo. Como siempre, Google no revela cómo se solucionó la falla.

En la publicación también se describen otros cuatro defectos:

• [$NA][1432603] High CVE-2023-2136: Integer overflow in Skia. Reported by Clément Lecigne of Google's Threat Analysis Group on 2023-04-12
• [$8000][1429197] High CVE-2023-2133: Out of bounds memory access in Service Worker API. Reported by Rong Jian of VRI on 2023-03-30
• [$8000][1429201] High CVE-2023-2134: Out of bounds memory access in Service Worker API. Reported by Rong Jian of VRI on 2023-03-30
• [$3000][1424337] High CVE-2023-2135: Use after free in DevTools. Reported by Cassidy Kim(@cassidy6564) on 2023-03-14
• [$1000][1430644] Medium CVE-2023-2137: Heap buffer overflow in sqlite. Reported by Nan Wang(@eternalsakura13) and Guang Gong of 360 Vulnerability Research Institute on 2023-04-05

Todas las fallas se enumeran como de riesgo "alto", excepto CVE-2023-2137, que tiene un riesgo "medio".

El canal estable y estable extendido se actualizó a 112.0.5615.137/138 para Windows, 112.0.5615.137 para Mac y 112.0.5615.165 para Linux, que se implementará en los próximos días o semanas. Una lista completa de cambios en esta compilación está disponible en el log.

Esta vulnerabilidad también afecta a otros navegadores que dependen de Chromium, tales como Edge, Brave y Vivaldi.

Fuente: Chrome

Suscríbete a nuestro Boletín