Google responde a la explotación de una vulnerabilidad zero-day en Chrome

Google ha lanzado una actualización de seguridad de emergencia para abordar la quinta vulnerabilidad zero-day de Chrome que ha sido explotada en ataques desde el inicio del año. La compañía emitió un aviso de seguridad, señalando que es consciente de la existencia de un exploit para la vulnerabilidad CVE-2023-5217 utilizado por diferentes actores de amenazas.

Esta vulnerabilidad de alta gravedad (CVE-2023-5217) ha sido solucionada en la versión Google Chrome 117.0.5938.132, disponible globalmente para usuarios de Windows, Mac y Linux con Escritorio Estable. Aunque el aviso advierte que podría llevar días o semanas hasta que la versión corregida llegue a todos los usuarios.

Además, el navegador web verificará automáticamente nuevas actualizaciones y las instalará automáticamente después del próximo inicio. Esta medida proactiva brinda a los usuarios de Google Chrome la oportunidad de protegerse contra posibles ataques.

La vulnerabilidad zero-day (CVE-2023-5217) se debe a una debilidad de heap-based buffer overflow en el encoding VP8 de la biblioteca open-source de códecs de video libvpx. Sus consecuencias pueden variar desde bloqueos de aplicaciones hasta la ejecución de código arbitrario. Clément Lecigne, investigador de seguridad del Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés) de Google, informó sobre esta falla el 25 de septiembre.

El TAG de Google es reconocido por descubrir y reportar zero-days utilizados en ataques de spyware dirigidos por actores respaldados por el gobierno y grupos de hackers que tienen como objetivo a individuos de alto riesgo, como periodistas y políticos de oposición. Maddie Stone de Google TAG reveló que el CVE-2023-5217 se explotó precisamente, para instalar spyware.

A pesar de confirmar que el CVE-2023-5217 se explotó en ataques, Google aún no ha compartido detalles adicionales sobre estos incidentes. La compañía explicó que la retención de información detallada puede ser necesaria hasta que la mayoría de los usuarios estén actualizados con una solución. Además, si la vulnerabilidad afecta a una biblioteca de terceros en la que otros proyectos confían y aún no se ha corregido, Google también puede mantener restricciones.

Este enfoque permite a los usuarios de Google Chrome tener tiempo suficiente para actualizar sus navegadores y así prevenir posibles ataques. La adopción de esta medida proactiva podría ayudar a mitigar el riesgo de que actores de amenazas desarrollen sus propios exploits y los utilicen en situaciones del mundo real.

Hace dos semanas, Google corrigió otro zero-day (identificado como CVE-2023-4863), que había sido explotado activamente. Aunque inicialmente se consideró una falla en Chrome, la compañía luego asignó otro CVE (CVE-2023-5129) y lo calificó como una vulnerabilidad crítica de seguridad en libwebp, una biblioteca ampliamente utilizada por varios proyectos, incluyendo Signal, 1Password, Mozilla Firefox, Microsoft Edge, Safari de Apple y el navegador web nativo de Android.

Más información:

• https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_27.html
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5217
• https://cwe.mitre.org/data/definitions/122.html
• https://github.com/webmproject/libvpx
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-4863
• https://nvd.nist.gov/vuln/detail/CVE-2023-5129
• https://github.com/signalapp/Signal-Desktop/issues/6603
• https://support.1password.com/kb/202309/

La entrada Google responde a la explotación de una vulnerabilidad zero-day en Chrome se publicó primero en Una al Día.