Google lanzó el martes soluciones de emergencia para abordar otra falla de día cero de alta gravedad explotada activamente en su navegador web Chrome.
La falla, rastreada como CVE-2023-2136 , se describe como un caso de desbordamiento de enteros en Skia , una biblioteca de gráficos 2D de código abierto. A Clément Lecigne del Threat Analysis Group (TAG) de Google se le atribuye el descubrimiento y la notificación de la falla el 12 de abril de 2023.
“El desbordamiento de enteros en Skia en Google Chrome antes de 112.0.5615.137 permitió a un atacante remoto que había comprometido el proceso de representación realizar potencialmente un escape de sandbox a través de una página HTML manipulada”, según la base de datos de vulnerabilidad nacional (NVD) del NIST .
El gigante tecnológico, que también solucionó otros siete problemas de seguridad con la última actualización, dijo que está al tanto de la explotación activa de la falla, pero no reveló detalles adicionales para evitar más abusos.
El desarrollo marca la segunda vulnerabilidad de día cero de Chrome en ser explotada por actores malintencionados, y se produce apenas unos días después de que Google parchó CVE-2023-2033 la semana pasada. No está claro de inmediato si los dos días cero se han encadenado como parte de ataques en estado salvaje.
Se recomienda a los usuarios que actualicen a la versión 112.0.5615.137 para Windows, macOS y Linux para mitigar posibles amenazas. También se recomienda a los usuarios de navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las correcciones a medida que estén disponibles.
Fuente: https://thehackernews.com/2023/04/google-chrome-hit-by-second-zero-day.html