Los piratas informáticos han sido detectados abusando de otra falla grave en Chrome, días después de que Google parchó una vulnerabilidad separada de «día cero» en el navegador que estaba bajo explotación activa.
El martes, Google emitió un boletín de seguridad(Se abre en una nueva ventana) que mencionaba la vulnerabilidad de Chrome recientemente descubierta, CVE-2023-2136, a la que se le ha otorgado una calificación de «gravedad alta».
“Google es consciente de que existe un exploit para CVE-2023-2136”, advirtió la empresa.
No hay muchos detalles sobre la vulnerabilidad. Por ahora, Google lo describe como un «desbordamiento de enteros» que involucra el motor de gráficos Skia de código abierto, que es utilizado por Chrome.
El informe oficial de CVE agrega(Se abre en una nueva ventana) que explotar la falla «permitió que un atacante remoto que había comprometido el proceso del renderizador realizara potencialmente un escape de sandbox a través de una página HTML manipulada». Esto podría allanar el camino para que el pirata informático acceda a procesos informáticos adicionales para ejecutar código malicioso no confiable en una computadora, lo que podría propagar una infección.
A pesar de la falta de detalles, es posible que la falla se haya explotado junto con otra vulnerabilidad de día cero que Google parchó el viernes pasado, llamada CVE-2023-2033, que involucraba un error en el motor JavaScript V8 para el navegador.
La empresa descubrió ambas fallas a través de Clément Lecigne, un investigador de seguridad del equipo del Grupo de Análisis de Amenazas de Google, que se dedica a rastrear los grupos de piratas informáticos más temibles y descubrir vulnerabilidades de día cero. Curiosamente, Lecigne descubrió CVE-2023-2033 el 11 de abril y luego CVE-2023-2136 el 12 de abril.
Recomendado por Nuestros Editores
Ambos defectos también se pueden explotar a través de páginas HTML especialmente creadas. Sin relación o no, esto sugiere que las dos vulnerabilidades se usaron en ataques que involucraron la entrega de páginas HTML maliciosas a las víctimas, posiblemente a través de mensajes de phishing.
Afortunadamente, Google se ha estado moviendo rápidamente para reparar ambas fallas al descubrirlas. La compañía ya preparó un parche para CVE-2023-2136 que debería implementarse ahora para los usuarios. La solución llegará como versión de Chrome. 112.0.5615.137.
Debería aparecer un botón para actualizar Chrome en la esquina superior derecha del navegador cuando la nueva versión esté disponible. De lo contrario, vaya a la pestaña «Acerca de Chrome» para recibir automáticamente la actualización o visite la página de soporte de Google(Se abre en una nueva ventana) sobre cómo descargar los parches.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.