Google lanza una actualización urgente de Chrome para corregir una vulnerabilidad de día cero explotada activamente
Google publicó el viernes actualizaciones especiales para resolver un fallo de día cero activamente explotado en su navegador web Chrome, lo que lo convierte en el primer fallo de este tipo que se aborda desde principios de año.
Esta vulnerabilidad de alta gravedad, denominada CVE-2023-2033, se describe como un problema de confusión de tipos en el motor JavaScript V8. Clement Lecigne, del Grupo de Análisis de Amenazas (TAG) de Google, fue quien informó del problema el 11 de abril de 2023.
“La confusión de tipos en V8 en Google Chrome antes de 112.0.5615.121 permitía a un atacante remoto explotar potencialmente la corrupción del heap a través de una página HTML manipulada”, según la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST.
El gigante tecnológico reconoció que “existe un exploit para CVE-2023-2033 en la red”, pero se abstuvo de compartir detalles técnicos adicionales o indicadores de compromiso (IoC) para evitar una mayor explotación por parte de los actores de amenazas.
CVE-2023-2033 también parece compartir similitudes con CVE-2022-1096, CVE-2022-1364, CVE-2022-3723, y CVE-2022-4262 – otros cuatro fallos de confusión de tipo activamente abusados en V8 que fueron remediados por Google en 2022.
Google cerró un total de nueve días-cero en Chrome el año pasado. El desarrollo se produce días después de que Citizen Lab y Microsoft revelaran la explotación de un fallo ya parcheado en Apple iOS por parte de clientes de un proveedor de spyware en la sombra llamado QuaDream para atacar a periodistas, figuras de la oposición política y un trabajador de una ONG en 2021.
Se recomienda a los usuarios que actualicen a la versión 112.0.5615.121 para Windows, macOS y Linux para mitigar posibles amenazas. También se aconseja a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones a medida que estén disponibles.