En el actual juego del gato y el ratón que es la ciberseguridad moderna, incluso los nombres más importantes de la industria a veces pueden verse sorprendidos. El equipo de seguridad de software de Google, el «The Threat Analysis Group», que suena como un súper espía, anunció un exploit oculto en Chrome y los navegadores basados en Chromium el 24 de noviembre, y desde entonces Google lo ha parcheado junto con una serie de otras correcciones de seguridad.
Es posible que la actualización tarde algún tiempo en extenderse a todos los dispositivos afectados, por lo que podría valer la pena estar atento a las actualizaciones de su navegador durante los próximos días y semanas para asegurarse de que está utilizando la última versión.
Es comprensible que Google mantenga los detalles del exploit, que está etiquetado como CVE-2023-6351, en secreto por ahora, pero ha notado que es un problema de desbordamiento de enteros en Skia, que es una biblioteca de gráficos 2D de código abierto que Chrome y Chromium- Los navegadores basados en Edge y Opera utilizan para dibujar imágenes 2D como botones, texto y menús. Los exploits de desbordamiento de enteros se pueden utilizar para bloquear el navegador y obtener acceso, por lo que la clasificación de gravedad «alta» parece más que apropiada en este caso.
Las vulnerabilidades de día cero, por supuesto, no son nada nuevo, y todos los principales desarrolladores de software vigilan de cerca los posibles exploits para parchearlos antes de que cualquier parte oportunista pueda aprovecharlos. Sin embargo, la admisión de Google de que este exploit existe «en la naturaleza» es algo preocupante, ya que sugiere que posiblemente ya se estaba utilizando con fines nefastos.
Si bien las empresas dedican enormes cantidades de tiempo y recursos a cerrar agujeros y eliminar errores y posibles vulnerabilidades antes de que sucedan, es inevitable que algunos pasen desapercibidos. Como siempre, la mejor recomendación es mantener el software actualizado en todo momento y prestar atención a posibles soluciones que aún no hayan llegado a su máquina.
Este último lote de vulnerabilidades se solucionó en la actualización 119.0.6045.199 Chromium, y Edge también lanzó una solución, por lo que si usa Chrome o un navegador basado en Chromium, vale la pena verificar su historial de actualizaciones para asegurarse de que está completamente protegido. Mantente a salvo ahí fuera.