Google ha lanzado actualizaciones de seguridad para el navegador web Chrome para abordar una vulnerabilidad de día cero de alta gravedad que ha sido explotada en la naturaleza.
La vulnerabilidad, asignada al identificador CVE-2023-7024, ha sido descrita como un error de desbordamiento de búfer de la pila basado en la WebRTC que podría ser explotado para provocar fallas en el programa o ejecución de código arbitrario.
Clément Lecigne y Vlad Stolyarov del Grupo de Análisis de Amenazas de Google (TAG) han sido acreditados con el descubrimiento y reporte de la vulnerabilidad el 19 de diciembre de 2023.
No se han divulgado otros detalles sobre el defecto de seguridad para evitar más abusos, con Google reconociendo que «existe un exploit para CVE-2023-7024 en la naturaleza».
Dado que WebRTC es un proyecto de código abierto y que también es compatible con Mozilla Firefox y Apple Safari, no está claro en este momento si la falla tiene algún impacto más allá de los navegadores Chrome y basados en Chromium.
El desarrollo marca la resolución del octavo día cero explotado activamente en Chrome desde el comienzo del año.
Se han revelado un total de 26,447 vulnerabilidades hasta ahora en 2023, superando el año anterior por más de 1,500 CVE, según los datos compilados por Qualys, con 115 fallas explotadas por actores de amenazas y grupos de ransomware.
Las vulnerabilidades de ejecución remota de código, el bypass de las características de seguridad, la manipulación de búfer, la escalada de privilegios y las fallas de validación e interpretación de entradas surgieron como los tipos de vulnerabilidades más importantes.
Se recomienda a los usuarios actualizar a la versión de Chrome 120.0.6099.129/130 para Windows y 120.0.6099.129 para macOS y Linux para mitigar posibles amenazas.
Los usuarios de navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi también se aconsejan aplicar las correcciones en cuanto estén disponibles.
