El martes, Google comenzó el lanzamiento de un parche de seguridad de Chrome para corregir su sexta vulnerabilidad de día cero en el navegador este año. El problema tiene una gravedad de seguridad de Chromium «alta», según la Base de Datos Nacional de Vulnerabilidad, que está rastreando el error como CVE-2023-6345.
Aunque los usuarios deben instalar la actualización lo antes posible, algunos podrían tener que esperar. Google dijo en la actualización notas de la versión que la solución podría llegar en los próximos días o semanas. Sin embargo, se pudo instalar la actualización en macOS inmediatamente.
La solución se envía a Google Chrome navegadores en Windows, Linux y macOS. Los usuarios de Chrome en macOS y Linux obtendrán la versión 119.0.6045.199, mientras que los usuarios en Windows obtendrán cualquiera de las versiones 119.0.6045.199 o 119.0.6045.200.
En las notas de la versión para el parche, Google dijo que «es consciente de que existe un exploit para CVE-2023-6345 en la naturaleza.» Eso significa que debe actualizar su navegador de inmediato para evitar errores o amenazas de ciberseguridad. Los problemas resultantes de esta falla de seguridad pueden ser tan críticos como la ejecución arbitraria de código o tan simples como los bloqueos de aplicaciones.
Aunque todavía no tenemos muchos detalles sobre la vulnerabilidad, sí sabemos que está relacionada con la biblioteca de gráficos Skia de Google. Skia es de código abierto y se utiliza en Chrome, entre otras aplicaciones y software de Google, como ChromeOS. Un error de desbordamiento de enteros dentro de Skia en Chrome podría permitir a los hackers remotos hacer un escape sandbox con un archivo malicioso, haciendo posible la ejecución de código arbitrario.
Google, como todas las compañías tecnológicas, no divulgará más información sobre la falla de seguridad hasta que sea parcheada por la mayoría de los usuarios de Chrome. Los detalles pueden tardar más en salir si la vulnerabilidad afecta a programas de terceros. Esto se debe a que una explicación detallada de la falla podría facilitar que los atacantes maliciosos la exploten contra usuarios de Chrome que aún no se han actualizado.
Investigadores del Grupo de Análisis de Amenazas de Google encontraron CVE-2023-6345 el 24 de noviembre. El parche se emitió a partir del martes (nov. 28), aunque no está claro cuánto tiempo se pudo haber explotado la falla antes de que se abordara.
Es posible que las personas que tienen actualizaciones automáticas para Google Chrome habilitadas no necesiten tomar ninguna acción adicional. Para comprobar si aún necesita aplicar manualmente la actualización, abra la configuración de Google Chrome, haga clic en la pestaña Acerca de Chrome y haga clic en Actualizar Google Chrome. Si no ve la opción de actualización, está en la última versión.