Google ha lanzado una actualización de seguridad de Chrome de emergencia para abordar la primera vulnerabilidad de día cero explotada en ataques desde principios de año. En un aviso de seguridad, Google declaró que es consciente de que existe un exploit para CVE-2023-2033. Los usuarios de Chrome deben actualizar a la versión 112.0.5615.121 lo antes posible, ya que soluciona la vulnerabilidad CVE-2023-2033 en los sistemas Windows, Mac y Linux.

La vulnerabilidad de día cero de alta gravedad (CVE-2023-2033) se debe a una debilidad de confusión de tipo de alta gravedad en el motor de JavaScript Chrome V8. El error fue informado por Clement Lecigne del Threat Analysis Group (TAG) de Google. Aunque las fallas de confusión de tipos generalmente permitirían a los atacantes provocar bloqueos del navegador después de una explotación exitosa al leer o escribir memoria fuera de los límites del búfer, los actores de amenazas también pueden explotarlos para la ejecución de código arbitrario en dispositivos comprometidos.

Google TAG descubre e informa con frecuencia errores de día cero explotados en ataques altamente dirigidos por actores de amenazas patrocinados por el gobierno que buscan instalar software espía en dispositivos de personas de alto riesgo, incluidos periodistas, políticos de la oposición y disidentes en todo el mundo. Si bien la compañía confirmó en un comunicado que no compartirá más detalles de este fallo hasta que la mayoría de los usuarios hayan parcheado, también aseguró que está al tanto de la existencia de un exploit que permite abusar de este fallo y que está siendo utilizado por atacantes en campañas activas.                

Se recomienda a las personas usuarias de Google Chrome actualizar el navegador a la última versión (v112.0.5615.121) tanto en Windows, Linux y Mac para corregir una vulnerabilidad que está siendo aprovechada por cibercriminales. Para instalar esta versión las personas deben acceder al menú de Chrome, seleccionar la opción Ayuda (Help) y luego hacer clic en Acerca de Google Chrome (About Google Chrome) y desde ahí podrán instalar la versión más reciente, algo que recomendamos realizar lo antes posible para estar protegidos. Esto permitirá a los usuarios de Google Chrome actualizar sus navegadores y bloquear los intentos de ataque hasta que se publiquen los detalles técnicos, lo que permitirá que más actores de amenazas desarrollen sus propias vulnerabilidades.

Fuente: https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-first-zero-day-of-2023/