(Otro) Zero-Day en Chrome / Chromium
Google ha publicado (otra) actualización de seguridad para el navegador web Chrome para abordar una (otra) vulnerabilidad Zero-Day de alta gravedad que, según dijo, está siendo explotada en la naturaleza.
La vulnerabilidad, a la que se le ha asignado el identificador CVE CVE-2023-7024, se ha descrito como un error de desbordamiento del búfer (heap-based buffer overflow) basado en montón en el marco WebRTC que podría explotarse para provocar fallos del programa o la ejecución de código arbitrario.
A Clément Lecigne y Vlad Stolyarov del Grupo de análisis de amenazas (TAG) de Google se les atribuye el descubrimiento y el informe de la falla el 19 de diciembre de 2023.
No se han publicado otros detalles sobre el defecto de seguridad para evitar mayores abusos, y Google reconoce que "existe un exploit para CVE-2023-7024 en la naturaleza".
Dado que WebRTC es un proyecto de código abierto y que también es compatible con Mozilla Firefox y Apple Safari, actualmente no está claro si la falla tiene algún impacto más allá de Chrome y los navegadores basados en Chromium.
El desarrollo marca la resolución del octavo día cero explotado activamente en Chrome desde principios de año.
- CVE-2023-2033 (CVSS score: 8.8) - Type confusion in V8
- CVE-2023-2136 (CVSS score: 9.6) - Integer overflow in Skia
- CVE-2023-3079 (CVSS score: 8.8) - Type confusion in V8
- CVE-2023-4762 (CVSS score: 8.8) - Type confusion in V8
- CVE-2023-4863 (CVSS score: 8.8) - Heap buffer overflow in WebP
- CVE-2023-5217 (CVSS score: 8.8) - Heap buffer overflow in vp8 encoding in libvpx
- CVE-2023-6345 (CVSS score: 9.6) - Integer overflow in Skia
En lo que va de 2023 se han revelado un total de 26.447 vulnerabilidades, superando al año anterior en más de 1.500 CVE, según datos recopilados por Qualys, con 115 fallas explotadas por actores de amenazas y grupos de ransomware.
La ejecución remota de código, la omisión de funciones de seguridad, la manipulación del búfer, la escalada de privilegios y las fallas de validación y análisis de entradas surgieron como los principales tipos de vulnerabilidad.
Se recomienda a los usuarios actualizar a la versión 120.0.6099.129/130 de Chrome para Windows y 120.0.6099.129 para macOS y Linux para mitigar posibles amenazas.
También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.
Fuente: THN
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!