El pasado 8 de abril, el gran Gigante Tecnologico Google informo a sus usuarios 8 vulnerabilidades catalogadas como 0-day que afectan principalmente a su famoso buscador "Google Chrome".
Google proporciona detalles sobre los errores de CVE que se han corregido en la nueva versión estable de Chrome en 112.0.5615.137/138 para Windows, 112.0.5615.137 para Mac y 112.0.5615.165 para Linux. La actualización incluye ocho correcciones de seguridad, algunas de las cuales han sido informadas por investigadores externos.
Una de las principales vulnerabilidades abordadas en esta actualización es CVE-2023-2133 relacionada con el acceso a la memoria que supera los límites de la API de Service Worker. Esta vulnerabilidad fue reportada por Rong Jian de VRI el 30 de marzo de 2023, con una recompensa de $8,000 ya ofrecida. También se corrigió la vulnerabilidad principal CVE-2023-2134, también relacionada con el acceso sin memoria en la API de Service Worker, también informada por Rong Jian el mismo día.
Otra vulnerabilidad importante que se ha corregido en esta actualización es CVE-2023-2135 relacionada con UAF (Use-after-free) en DevTools. Cassidy Kim informó sobre esta vulnerabilidad el 14 de marzo de 2023 y se otorgó una recompensa de $ 3,000.
La actualización también resuelve la vulnerabilidad de desbordamiento del búfer de almacenamiento dinámico moderado en CVE-2023-2137 en SQLite. Esta vulnerabilidad fue reportada por Nan Wang y Guang Gong del 360 Vulnerability Research Institute el 4 de mayo de 2023 y tiene una recompensa de $1,000.
Finalmente, tenemos CVE-2023-2136 con severidad de desbordamiento de enteros en Skia, una biblioteca de gráficos de código abierto desarrollada por Google que se utiliza como motor de gráficos para productos como Google Chrome, Chrome OS. , Android, Flutter, Mozilla Firefox y Firefox OS, entre otras cosas, tenían un exploit público. Clement Lesigne del Equipo de Inteligencia de Amenazas de Google reportó la vulnerabilidad el 12 de abril de 2023.
Vulnerabilidades Descubirtas
Estas vulnerabilidades fueron publicadas abiertamente descubiertas por investigadores externos.
[$8000][ 1429197 ] Alto CVE-2023-2133: Acceso a memoria fuera de los límites en la API de Service Worker. Reportado por Rong Jian de VRI el 2023-03-30
[$8000][ 1429201] Alto CVE-2023-2134: Acceso a memoria fuera de los límites en la API de Service Worker. Reportado por Rong Jian de VRI el 2023-03-30
[$3000][ 1424337 ] Alto CVE-2023-2135: Usar después de gratis en DevTools. Informado por Cassidy Kim(@cassidy6564) el 2023-03-14
[$NA][ 1432603 ] Alto CVE-2023-2136: Desbordamiento de enteros en Skia. Informado por Clément Lecigne del Grupo de análisis de amenazas de Google el 2023-04-12
[$1000][ 1430644 ] Medio CVE-2023-2137: Desbordamiento de búfer de pila en sqlite. Informado por Nan Wang(@eternalsakura13) y Guang Gong del 360 Vulnerability Research Institute el 2023-04-05
Medidas de Prevención
Es realmente importante contar con la última version actualizada de Chrome, ya que con ello se incluyen las correcciones recientemente aplicadas por Google.
Actualizar Google Chrome en una computadora:
Abre Google Chrome en tu computadora.
Haz clic en los tres puntos verticales en la esquina superior derecha de la ventana del navegador.
Selecciona "Ayuda" en el menú desplegable.
Haz clic en "Información de Google Chrome".
Se abrirá una nueva ventana que mostrará la versión actual de Chrome que estás usando y buscará automáticamente actualizaciones disponibles.
Si hay una actualización disponible, haz clic en el botón "Actualizar Chrome".
Espera a que se descargue y se instale la actualización. Esto puede tomar unos minutos.
Cuando se complete la instalación, haz clic en "Reiniciar" para aplicar los cambios y reiniciar Google Chrome.
Actualizar Google Chrome en un dispositivo móvil:
Abre la aplicación Google Play Store en tu dispositivo móvil.
Toca el icono de tres líneas horizontales en la esquina superior izquierda de la pantalla para abrir el menú.
Selecciona "Mis aplicaciones y juegos" en el menú.
Busca Google Chrome en la lista de aplicaciones instaladas.
Si hay una actualización disponible, verás un botón "Actualizar". Toca ese botón para comenzar la actualización.
Espera a que se descargue e instale la actualización. Esto puede tomar unos minutos.
Una vez que se complete la instalación, la nueva versión de Google Chrome estará lista para usar.
La Última Línea...
Cabe señalar que Google tiene conocimiento de la existencia de la vulnerabilidad CVE-2023-2136, por lo que le recomendamos encarecidamente que actualice su navegador Chrome a la última versión en todos los sistemas. De esta forma, puedes reducir el riesgo de ser atacado por ciberdelincuentes y así aumentar la protección de nuestra información.
Las actualizaciones de seguridad son especialmente importantes ya que protegen contra posibles vulnerabilidades y amenazas cibernéticas que podrían comprometer la seguridad de los datos personales y la privacidad en línea.
Mas información
Google. (2023b, abril 18). Stable Channel Update for Desktop. Chrome Releases. https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_18.html
Comments