Se ha reportado un nuevo aviso de seguridad sobre tres vulnerabilidades incluyendo un Zero Day que afectan a Google Chrome, que permitiría a un atacante realizar ataques del tipo Heap buffer overflow y Use-after-free (UAF) en el sistema afectado.
Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Alta”. Las mismas se detallan a continuación:
- CVE-2023-5217, de severidad “Alta”, sin puntuación asignada aún. Esta vulnerabilidad Zero Day del tipo heap buffer overflow, explotada activamente se debe a una falla de seguridad en la codificación vp8 en la librería libvpx de Google Chrome. Esto permitiría a un actor malicioso a través del acceso de la víctima a página HTML especialmente diseñada realizar acciones arbitrarias y posteriormente comprometer el sistema del usuario afectado.
- CVE-2023-5186, de severidad “Alta”, sin puntuación asignada aún. Esta vulnerabilidad del tipo Use-after-free (UAF) se debe a una falla de seguridad en la funcionalidad de contraseñas en Google Chrome. Esto permitiría a un actor malicioso remoto a través de la interacción de interfaz de usuario especialmente diseñada y la persuasión a la víctima de participar en la interacción, realizar ataques de heap corruption en el sistema afectado.
- CVE-2023-5187, de severidad “Alta”, sin puntuación asignada aún. Esta vulnerabilidad del tipo Use-after-free (UAF) se debe a una falla de seguridad en la funcionalidad de extensiones de Google Chrome. Esto permitiría a un actor malicioso remoto a través de una página HTML especialmente diseñada y la persuasión a la víctima de instalar una extensión maliciosa y posteriormente realizar ataques de heap corruption en el sistema afectado.
Las versiones afectadas son:
- Chrome (Windows, Mac y Linux), versiones anteriores a 117.0.5938.132.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias: