Google ha lanzado un parche para corregir la segunda vulnerabilidad de día cero encontrada en su navegador Chrome (se abre en una pestaña nueva) este año.
Al igual que la amenaza anterior, que fue reparada hace unos días, esta también está siendo explotada en la naturaleza, confirmó la compañía en un boletín de seguridad.
La vulnerabilidad se rastrea como CVE-2023-2136 y se describe como un error de desbordamiento de enteros de alta gravedad que se encuentra en Skia, la biblioteca de gráficos 2D multiplataforma de código abierto de Google. Chrome usa Skia para renderizar gráficos, texto, imágenes, animaciones y similares BleepingEquipo lo describe como un «componente clave» de la canalización de representación del navegador.
Permitir el acceso
Al abusar de la falla, un actor de amenaza potencial podría obligar al navegador a mostrar páginas incorrectamente, sufrir daños en la memoria y permitir la ejecución de código arbitrario. Este último es el más problemático, ya que podría permitir el acceso no autorizado al punto final vulnerable.
La falla fue descubierta por Clément Lecigne del Threat Analysis Group (TAG) de Google. TAG generalmente busca vulnerabilidades y malware utilizado por actores patrocinados por el estado, por lo que no sería demasiado extraordinario especular que los atacantes del estado-nación estaban abusando de esta vulnerabilidad.
Dicho esto, Google ocultó más detalles sobre la falla y su explotación hasta que la mayoría de las instancias del navegador estén parcheadas.
«El acceso a los detalles de errores y enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución», dijo la compañía. «También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se han solucionado».
Para proteger su navegador contra este exploit, asegúrese de actualizarlo a la versión 112.0.5615.137. Este parche soluciona ocho vulnerabilidades en total. En el momento de la publicación, la falla está solucionada para dispositivos Windows y Mac, mientras que aquellos que trabajan en Linux tendrán que esperar un poco más. Google dice que la solución para ese sistema operativo está en proceso y debería lanzarse «pronto».
Si bien Chrome generalmente instala estos parches automáticamente al inicio, los usuarios también pueden activarlos manualmente navegando al menú de Chrome (tres puntos horizontales en la esquina superior derecha), tocando Ayuda y moviéndose a Acerca de Google Chrome.
Vía: BleepingComputer (se abre en una pestaña nueva)