Vulnerabilidad peligrosa de día 0 en Google Chrome: CVE-2023-2136

La semana anterior, Google lanzó una solución de seguridad de emergencia para su navegador y hoy, la compañía lanzó otra actualización de seguridad de emergencia para abordar una vulnerabilidad que se está explotando en la naturaleza.
La actualización ya está disponible para las versiones de escritorio de Google Chrome , así como para la versión de Android de Chrome. Se alienta a los usuarios a instalar actualizaciones tan pronto como estén disponibles para proteger sus dispositivos contra posibles ataques que aprovechen estas vulnerabilidades.

Google ha enumerado cinco de los ocho problemas de seguridad que se abordaron en la versión más reciente de Google Chrome. Google dice que estos problemas se han manejado. El blog oficial de versiones de Chrome ha proporcionado documentación de estas mejoras recientes. Por otro lado, Google no da a conocer públicamente las fallas de seguridad que se encontraron durante las investigaciones internas de la propia empresa.

El acceso a la memoria fuera de los límites en la API de Service Worker es una vulnerabilidad de alto riesgo (CVE-2023-2133) .

El acceso a la memoria fuera de los límites en la API de Service Worker es una vulnerabilidad de alto riesgo (CVE-2023-2134).


Usar después de gratis en DevTools es una vulnerabilidad de alto riesgo (CVE-2023-2135).

Desbordamiento de enteros en Skia, una vulnerabilidad de alto riesgo (CVE-2023-2136).


Desbordamiento de búfer de almacenamiento dinámico en sqlite, clasificado como de gravedad media ( CVE-2023-2137) .


Según los hallazgos de Google, la falla de seguridad CVE-2023-2136 se está explotando activamente en la naturaleza.

Una biblioteca de gráficos 2D llamada Skia, que se usa con frecuencia en navegadores web, sistemas operativos y otras aplicaciones de software, tiene una falla conocida como CVE-2023-2136, que es una vulnerabilidad de desbordamiento de enteros. Un desbordamiento de entero ocurre cuando una operación aritmética da como resultado un número que es mayor que el límite máximo del tipo de entero. Esto hace que el valor se ajuste y se vuelva mucho más pequeño o mucho más grande de lo que estaba destinado a ser. Se puede evitar un desbordamiento de enteros asegurándose de que no se exceda el límite máximo del tipo de entero.

Esto indica que los actores de amenazas ya han comenzado a explotar esta vulnerabilidad para apuntar a los sistemas y violarlos. Los resultados de una explotación exitosa pueden ser algo variables, pero casi siempre involucran al menos uno de los siguientes: acceso no autorizado a información confidencial; corrupción de datos; o incluso una adquisición total del sistema.

El canal Chrome Stable se actualizó a la versión 112.0.5615.137 para Windows y Mac, y se actualizó a la versión 112.0.5615.135 para Android; estas actualizaciones se implementarán en los próximos días o semanas.