Google solucionó la sexta falla de día cero de Chrome este año en una actualización de seguridad de emergencia lanzada hoy en respuesta a vulnerabilidades en curso. La compañía reconoció la falla de seguridad, numerada CVE-2023-6345, en un nuevo aviso de seguridad publicado hoy.

"Google es consciente de la vulnerabilidad CVE-2023-6345", dijo la empresa.

La vulnerabilidad se ha abordado en el canal Stable Desktop y se ha implementado globalmente una versión parcheada para usuarios de Windows (119.0.6045.199/.200) y usuarios de Mac y Linux (119.0.6045.199).

El aviso señala que la actualización de seguridad puede tardar días o semanas en llegar a toda la base de usuarios, pero la actualización está disponible hoy. Los usuarios que no quieran actualizar manualmente pueden confiar en su navegador web para buscar automáticamente nuevas actualizaciones e instalarlas después del siguiente inicio.

Esta vulnerabilidad de día cero de alta gravedad surge de una vulnerabilidad de desbordamiento de enteros en la biblioteca de gráficos 2D de código abierto Skia, que conlleva riesgos que van desde fallas hasta la ejecución de código arbitrario (Skia también se usa como motor de gráficos en otros productos, como ChromeOS, Android y Flutter).

La vulnerabilidad fue informada el viernes 24 de noviembre por dos investigadores de seguridad del Grupo de Análisis de Amenazas (TAG) de Google, Benoît Sevens y Clément Lecigne.

GoogleTAG es famoso por descubrir vulnerabilidades de día cero, que a menudo son explotadas por grupos de hackers patrocinados por el Estado para campañas de software espía dirigidas a figuras de alto perfil como periodistas y políticos de la oposición.

La compañía dijo que el acceso a los detalles de las vulnerabilidades de día cero seguirá restringido hasta que la mayoría de los usuarios actualicen sus navegadores. Si la falla también afecta al software de terceros que aún no ha sido parcheado, se ampliarán las restricciones de acceso a los detalles y enlaces del error.

"El acceso a los detalles y enlaces del error puede estar restringido hasta que la mayoría de los usuarios actualicen con una solución. Si el error existe en una biblioteca de terceros en la que otros proyectos dependen de manera similar, pero aún no se ha solucionado, también mantendremos las restricciones", dijo la compañía.

Esta medida tiene como objetivo reducir la posibilidad de que los actores de amenazas aprovechen la información técnica recientemente publicada sobre la vulnerabilidad para desarrollar sus propias vulnerabilidades CVE-2023-6345.

En septiembre, Google solucionó dos vulnerabilidades de día cero adicionales explotadas en el ataque (numeradas CVE-2023-5217 y CVE-2023-4863), la cuarta y quinta vulnerabilidades de día cero desde principios de 2023.