Google lanza el octavo parche de día cero de 2023 para Chrome

Google ha emitido una actualización urgente para abordar una vulnerabilidad descubierta recientemente en Chrome que ha estado bajo explotación activa en la naturaleza, lo que marca la octava vulnerabilidad de día cero identificada para el navegador en 2023.

Identificado como CVE-2023-7024, Google dijo que la vulnerabilidad es una importante falla de desbordamiento del búfer dentro del módulo WebRTC de Chrome que permite la ejecución remota de código (RCE).

WebRTC es una iniciativa de código abierto que permite la comunicación en tiempo real a través de API y goza de un amplio apoyo entre los principales fabricantes de navegadores.

Cómo CVE-2023-7024 amenaza a los usuarios de Chrome

Lionel Litty, arquitecto jefe de seguridad de Menlo Security, explica que el riesgo de explotación es la capacidad de lograr RCE en el proceso de renderizado. Esto significa que un mal actor puede ejecutar código binario arbitrario en la máquina del usuario, fuera del entorno limitado de JavaScript.

Sin embargo, el daño real depende del uso del error como primer paso en una cadena de explotación; debe combinarse con una vulnerabilidad de escape de la zona de pruebas en Chrome o en el sistema operativo para que sea realmente peligroso.

"Sin embargo, este código todavía está protegido debido a la arquitectura multiproceso de Chrome", dice Litty, "por lo que con solo esta vulnerabilidad un atacante no puede acceder a los archivos del usuario ni comenzar a implementar malware, y su punto de apoyo en la máquina desaparece cuando se cierra la pestaña afectada". cerrado."

Señala que la función de aislamiento de sitios de Chrome generalmente protegerá los datos de otros sitios, por lo que un atacante no puede apuntar a la información bancaria de la víctima, aunque agrega que hay algunas advertencias sutiles aquí.

Por ejemplo, esto expondría el origen de un objetivo al origen malicioso si utilizan el mismo sitio: en otras palabras, un hipotético.shared.com malicioso puede apuntar a victim.shared.com.

"Si bien el acceso al micrófono o la cámara requiere el consentimiento del usuario, el acceso a WebRTC en sí no lo requiere", explica Litty. "Es posible que cualquier sitio web pueda atacar esta vulnerabilidad sin requerir ninguna intervención del usuario más allá de visitar la página maliciosa, por lo que desde esta perspectiva la amenaza es significativa".

Aubrey Perin, analista principal de inteligencia de amenazas en la Unidad de Investigación de Amenazas de Qualys, señala que el alcance del error se extiende más allá de Google Chrome.

"La explotación de Chrome está ligada a su ubicuidad; incluso Microsoft Edge usa Chromium", dice. "Por lo tanto, explotar Chrome también podría potencialmente apuntar a los usuarios de Edge y permitir a los malos actores un alcance más amplio".

Y es que cabe destacar que los dispositivos móviles Android que utilizan Chrome tienen su propio perfil de riesgo; ponen varios sitios en el mismo proceso de renderizado en algunos escenarios, especialmente en dispositivos que no tienen mucha RAM.

Los navegadores siguen siendo uno de los principales objetivos de los ciberataques

Los principales proveedores de navegadores han informado recientemente de un número creciente de errores de día cero; solo Google informó cinco desde agosto.

Apple, Microsoft y Firefox se encuentran entre los otros que han revelado un serie de vulnerabilidades críticas en sus navegadores, incluidos algunos de día cero.

Joseph Carson, científico jefe de seguridad y CISO asesor de Delinea, dice que no sorprende que los piratas informáticos y ciberdelincuentes patrocinados por el gobierno apunten al popular software, buscando constantemente vulnerabilidades para explotar.

"Esto normalmente conduce a una mayor superficie de ataque debido al uso generalizado del software, sus múltiples plataformas, objetivos de alto valor y, por lo general, abre la puerta a ataques a la cadena de suministro", afirma.

Señala que este tipo de vulnerabilidades también requieren tiempo para que muchos usuarios actualicen y parcheen los sistemas vulnerables.

"Por lo tanto, los atacantes probablemente atacarán estos sistemas vulnerables durante muchos meses", afirma Carson.

Y añade: "Como esta vulnerabilidad se está explotando activamente, es probable que los sistemas de muchos usuarios ya se hayan visto comprometidos y sería importante poder identificar los dispositivos que han sido atacados y parchear rápidamente esos sistemas".

Como resultado, señala Carson, las organizaciones deben investigar los sistemas sensibles con esta vulnerabilidad para determinar cualquier riesgo o posible impacto material.

• Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
• PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
• PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
• PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
• PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
• Fuente: https://www.darkreading.com/cloud-security/google-eighth-zero-day-patch-2023-chrome