Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Alertas

Vulnerabilidades en Google Chrome 2023

24 Jul 2023

En 2023 Google Chrome lanzó una serie de actualizaciones cruciales que incluyen parches de seguridad para abordar múltiples vulnerabilidades detectadas. Estas vulnerabilidades, en su mayoría clasificadas con una gravedad media, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.

A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas en Google Chrome durante el 2023. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad por lo que es vital que todos los usuarios de Google Chrome actualicen su navegador para garantizar la total protección durante su uso.

Tabla de contenidos

Vulnerabilidades en Google Chrome 28 de septiembre 2023

INTRODUCCIÓN

Google ha publicado una actualización para corregir varias vulnerabilidades. Entre ellas, la vulnerabilidad CVE-2023-5217 afecta a libvpx, una biblioteca de códecs de vídeo de software libre de Google y la Alliance for Open Media (AOMedia) que sirve como implementación de software de referencia para los formatos de codificación de vídeo VP8 y VP9. Dado que es utilizada por los principales servicios de vídeo OTT, como YouTube, Netflix, Amazon, JW Player, Brightcove y Telestream, se espera que el alcance de la vulnerabilidad se amplíe en los próximos días.

ANÁLISIS

CVE-2023-5217 Gravedad Alta:

Desbordamiento de buffer heap en la codificación vp8 en libvpx. Google ha informado que esta vulnerabilidad está siendo explotada.

CVE-2023-5186 Gravedad Alta:

Uso después de free en Passwords.

CVE-2023-5187 Gravedad Alta:

Uso después de free en Extensiones.

VERSIONES AFECTADAS

Versiones de Google Chrome anteriores a 117.0.5938.132 para Windows, Mac y Linux

RECOMENDACIONES

Actualice a Google Chrome 117.0.5938.132 para Windows, Mac y Linux cuando esté disponible.

REFERENCIAS

https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_27.html

https://en.wikipedia.org/wiki/Libvpx

Vulnerabilidades en Google Chrome 12 de septiembre 2023

INTRODUCCIÓN

Google ha publicado una actualización para parchear una vulnerabilidad que está siendo explotada actualmente.

ANÁLISIS

CVE-2023-4863:

Desbordamiento del búfer de montón en WebP que podría dar lugar a la ejecución de código arbitrario o a un bloqueo. Google es consciente de que existe un exploit para esta vulnerabilidad.

VERSIONES AFECTADAS

Versiones anteriores a 116.0.5845.187 para Mac y Linux
Versiones anteriores a 116.0.5845.187/.188 para Windows

RECOMENDACIONES

Actualice a 116.0.5845.187 para Mac y Linux
Actualice a 116.0.5845.187/.188 para Windows

REFERENCIAS

https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_11.html

https://nvd.nist.gov/vuln/detail/CVE-2023-4863

Vulnerabilidades en Google Chrome 15 de junio 2023

INTRODUCCIÓN

Google ha lanzado una nueva actualización de Chrome con nuevos parches de seguridad.

ANÁLISIS

CVE-2023-3214 Gravedad de seguridad de Chromium - Crítica:

Uso después de libre en pagos Autofill.

CVE-2023-3215 Gravedad de seguridad de Chromium - Alta:

Uso después de libre en WebRTC.

CVE-2023-3216 Gravedad de seguridad de Chromium - Alta:

Confusión tipográfica en V8.

CVE-2023-3217 Gravedad de seguridad de Chromium - Alta:

Uso después de free en WebXR.

VERSIONES AFECTADAS

Versiones de Google Chrome anteriores a 114.0.5735.133 para Mac y Linux y 114.0.5735.133/134 para Windows.

RECOMENDACIONES

  • Actualice a la versión 114.0.5735.133 de Chrome para Mac y Linux

  • Actualice a la versión 114.0.5735.133/134 de Chrome para Windows

REFERENCIAS

https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop_13.html
https://nvd.nist.gov/vuln/detail/CVE-2023-3214
https://nvd.nist.gov/vuln/detail/CVE-2023-3215
https://nvd.nist.gov/vuln/detail/CVE-2023-3216
https://nvd.nist.gov/vuln/detail/CVE-2023-3217

Vulnerabilidades en Google Chrome 6 de junio 2023

INTRODUCCIÓN

Google ha lanzado una nueva actualización de Chrome debido a la explotación de una nueva vulnerabilidad.

ANÁLISIS

CVE-2023-3079 Gravedad de seguridad de Chromium - Alta:

Confusión de tipos en V8.

VERSIONES AFECTADAS

Versiones de Google Chrome anteriores a 114.0.5735.106 para Mac y Linux y 114.0.5735.110 para Windows

RECOMENDACIONES

  • Actualice a la versión 114.0.5735.106 de Chrome para Mac y Linux

  • Actualice a la versión 114.0.5735.110 de Chrome para Windows

REFERENCIAS

https://chromereleases.googleblog.com/

https://nvd.nist.gov/vuln/detail/CVE-2023-3079

Vulnerabilidades en Google Chrome 1 de junio 2023

INTRODUCCIÓN

Hay una nueva actualización de Google Chrome que contiene 16 correcciones de seguridad. Entre ellas, 8 correcciones de seguridad de alta prioridad, que son en las que se centrará esta nota.

ANÁLISIS

CVE-2023-2929 Gravedad de seguridad de Chromium - Alta:

  • Escritura fuera de límites en Swiftshader.

CVE-2023-2930 Gravedad de seguridad de Chromium - Alta:

  • Uso después de free en Extensions.

CVE-2023-2931 Gravedad de seguridad de Chromium - Alta:

  • Uso después de free en PDF

CVE-2023-2932 Gravedad de seguridad de Chromium - Alta:

  • Uso después de free en PDF.

CVE-2023-2933 Gravedad de seguridad de Chromium - Alta:

  • Uso después de free en PDF.

CVE-2023-2934 Gravedad de seguridad de Chromium - Alta:

  • Acceso a memoria fuera de los límites en Mojo.

CVE-2023-2935 Gravedad de seguridad de Chromium - Alta:

  • Confusión de tipo en V8.

CVE-2023-2936 Gravedad de seguridad de Chromium - Alta:

  • Confusión de tipo en V8.

VERSIONES AFECTADAS

  • Versiones de Google Chrome anteriores a 114.0.5735.90 (Linux y Mac) y 114.0.5735.90/91 (Windows)

  • Versiones de Google Chrome Extended Stable anteriores a 114.0.5735.90 (Mac) y 114.0.5735.91 (Windows)

RECOMENDACIONES

  • Actualice a las versiones 114.0.5735.90 (Linux y Mac) y 114.0.5735.90/91 (Windows) de Google Chrome.

  • Actualice a las versiones 114.0.5735.90 (Mac) y 114.0.5735.91 (Windows) de Google Chrome Extended Stable.

REFERENCIAS

https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_30.html
https://www.cve.org/CVERecord?id=CVE-2023-2929
https://www.cve.org/CVERecord?id=CVE-2023-2930
https://www.cve.org/CVERecord?id=CVE-2023-2931
https://www.cve.org/CVERecord?id=CVE-2023-2932
https://www.cve.org/CVERecord?id=CVE-2023-2933
https://www.cve.org/CVERecord?id=CVE-2023-2934
https://www.cve.org/CVERecord?id=CVE-2023-2935
https://www.cve.org/CVERecord?id=CVE-2023-2936
https://www.cve.org/CVERecord?id=CVE-2023-2937
https://www.cve.org/CVERecord?id=CVE-2023-2938
https://www.cve.org/CVERecord?id=CVE-2023-2939
https://www.cve.org/CVERecord?id=CVE-2023-2940
https://www.cve.org/CVERecord?id=CVE-2023-2941

Vulnerabilidades en Google Chrome 19 de mayo 2023

NTRODUCCIÓN

El canal estable de Google Chrome ha sido actualizado incluyendo 12 correcciones de seguridad. Entre ellas, se encuentran 1 problema crítico, 4 de gravedad alta y 1 de gravedad media. Esta nota se centrará en los de gravedad superior a alta.

ANÁLISIS

CVE-2023-2721 Gravedad de seguridad de Chromium - Crítica:

El uso después de free en Navigation en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML diseñada.

CVE-2023-2722 Gravedad de seguridad de Chromium - Alta:

El uso después de free en Autofill UI en Google Chrome en Android permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML diseñada.

CVE-2023-2723 Gravedad de seguridad de Chromium - Alta:

El uso después de la liberación en DevTools en Google Chrome permitía a un atacante remoto que hubiera comprometido el proceso de renderizado explotar potencialmente la corrupción de la pila a través de una página HTML diseñada.

CVE-2023-2724 Gravedad de seguridad de Chromium - Alta:

La confusión tipográfica en V8 en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML diseñada.

CVE-2023-2725 Gravedad de seguridad de Chromium - Alta:

El uso después de free en Guest View en Google Chrome permitía a un atacante que convencía a un usuario para instalar una extensión maliciosa explotar potencialmente la corrupción de la pila a través de una página HTML diseñada.

VERSIONES AFECTADAS

  • Versiones de Google Chrome anteriores a 113.0.5672.126 para Mac y Linux

  • Versiones de Google Chrome anteriores a 113.0.5672.126/.127 para Windows

RECOMENDACIONES

  • Actualice a la versión 113.0.5672.126 de Google Chrome para Mac y Linux

  • Actualice a la versión 113.0.5672.126/.127 de Google Chrome para Windows

REFERENCIAS

https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_16.html
https://www.cve.org/CVERecord?id=CVE-2023-2721
https://www.cve.org/CVERecord?id=CVE-2023-2722
https://www.cve.org/CVERecord?id=CVE-2023-2723
https://www.cve.org/CVERecord?id=CVE-2023-2724
https://www.cve.org/CVERecord?id=CVE-2023-2725
https://www.cve.org/CVERecord?id=CVE-2023-2726

Vulnerabilidades en Google Chrome 20 de abril 2023

INTRODUCCIÓN

Se han encontrado diversas vulnerabilidades en diferentes versiones de Google Chrome. Se cubrirán los siguientes CVE: CVE-2023-2033 y CVE-2023-2133 -- CVE-2023-2136 que no tienen CVSS todavía pero Google las ha clasificado con criticidad alta.

ANÁLISIS

CVE-2023-2033 CVSS 8.8:

La confusión de tipos en V8 en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-2133 CVSS -:

El acceso a memoria fuera de los límites en la API de Service Worker permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-2134 CVSS -:

El acceso a memoria fuera de los límites en la API de Service Worker permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-2135 CVSS -:

El uso después de free en DevTools permitía a un atacante remoto que convencía a un usuario de habilitar condiciones previas específicas explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-2136 CVSS -:

El desbordamiento de enteros en Skia en Google Chrome permitía a un atacante remoto que hubiera comprometido el proceso de renderizado realizar potencialmente un escape de sandbox a través de una página HTML manipulada.

VERSIONES AFECTADAS

CVE-2023-2033:

Google Chrome anterior a 112.0.5615.121

CVE-2023-2133--CVE-2023-2136:

Google Chrome anterior a 112.0.5615.137

RECOMENDACIONES

Actualice a la siguiente versión en función del dispositivo:

  • 112.0.5615.137/138 para Windows

  • 112.0.5615.137 para Mac

  • 112.0.5615.165 para Linux

  • 112.0.5615.135/.136 para Android

  • 112.0.5615.70 para iOS

REFERENCIAS

https://chromereleases.googleblog.com/search/label/Stable%20updates
https://nvd.nist.gov/vuln/detail/CVE-2023-2033
https://nvd.nist.gov/vuln/detail/CVE-2023-2133
https://nvd.nist.gov/vuln/detail/CVE-2023-2134
https://nvd.nist.gov/vuln/detail/CVE-2023-2135
https://nvd.nist.gov/vuln/detail/CVE-2023-2136

Vulnerabilidades en Google Chrome 24 de marzo 2023

INTRODUCCIÓN

Se han publicado siete vulnerabilidades en Google Chrome.
(CVE-2023-1528, CVE-2023-1529, CVE-2023-1530, CVE-2023-1531,CVE-2023-1532, CVE-2023-1533, CVE-2023-1534)

ANÁLISIS

CVE-2023-1528 CVSS 8.8:

El uso después de free en Contraseñas en Google Chrome permitía a un atacante remoto que hubiera comprometido el proceso del renderizador explotar potencialmente la corrupción de la pila a través de una página HTML crafteada. (Gravedad de seguridad de Chromium: Alta)

CVE-2023-1529:

El acceso a memoria fuera de límites en WebHID en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de un dispositivo HID malicioso. (Gravedad de seguridad de Chromium: Alta)

CVE-2023-1530 CVSS 8.8:

El uso después de liberar en PDF en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)

CVE-2023-1531 CVSS 8.8:

El uso después de liberar en ANGLE en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)

CVE-2023-1532 CVSS 8.8:

La lectura fuera de los límites en GPU Video en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)

CVE-2023-1533 CVSS 8.8:

El uso después de liberar en WebProtect en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)

CVE-2023-1534 CVSS 8.8:

La lectura fuera de los límites en ANGLE en Google Chrome permitía a un atacante remoto que hubiera comprometido el proceso del renderizador explotar potencialmente la corrupción de la pila a través de una página HTML manipulada. (Gravedad de seguridad de Chromium: Alta)

VERSIONES AFECTADAS

Versiones de Google Chrome anteriores a 111.0.5563.110 para Mac y Linux.

Versiones de Google Chrome anteriores a 111.0.5563.110/.111 para Windows.

RECOMENDACIONES

Actualiza a la versión 111.0.5563.110 para Mac y Linux.

Actualiza a la versión 111.0.5563.110/.111 para Windows.

REFERENCIAS

https://chromereleases.googleblog.com/2023/03/stable-channel-update-for-desktop_21.html
https://nvd.nist.gov/vuln/detail/CVE-2023-1528
https://nvd.nist.gov/vuln/detail/CVE-2023-1529
https://nvd.nist.gov/vuln/detail/CVE-2023-1531
https://nvd.nist.gov/vuln/detail/CVE-2023-1532
https://nvd.nist.gov/vuln/detail/CVE-2023-1533
https://nvd.nist.gov/vuln/detail/CVE-2023-1534

Vulnerabilidades en Google Chrome 13 de marzo 2023

INTRODUCCIÓN

Chrome 111.0.5563.64 (Linux y Mac), 111.0.5563.64/.65( Windows) contiene una serie de correcciones y mejoras entre las cuales se encuentran los parches de seguridad que indicaremos a continuación.
(CVE-2023-1213,CVE-2023-1214, CVE-2023-1215, CVE-2023-1216, CVE-2023-1218, CVE-2023-1219, CVE-2023-1220, CVE-2023-1222, CVE-2023-1227)

ANÁLISIS

CVE-2023-1213 CVSS 8.8:

El uso después de free en Swiftshader en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1214 CVSS 8.8:

La confusión de tipos en V8 en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1215 CVSS 8.8:

Una confusión tipográfica en CSS en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1216 CVSS 8.8:

El uso después de la liberación en DevTools en Google Chrome permitía a un atacante remoto que había convencido al usuario para participar en la interacción directa de la interfaz de usuario explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1218 CVSS 8.8:

El uso después de la liberación en WebRTC en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1219 CVSS 8.8:

El desbordamiento del búfer de la pila en Metrics en Google Chrome permitía a un atacante remoto que hubiera comprometido el proceso del renderizador explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1220 CVSS 8.8:

El desbordamiento del búfer de la pila en UMA en Google Chrome permitía a un atacante remoto que hubiera comprometido el proceso de renderización explotar potencialmente la corrupción de la pila mediante una página HTML manipulada.

CVE-2023-1222 CVSS 8.8:

El desbordamiento del búfer de heap en Web Audio API de Google permitía a un atacante remoto explotar potencialmente la corrupción de heap a través de una página HTML manipulada.

CVE-2023-1227 CVSS 8.8:

El uso después de free en Core en Google Chrome en Lacros permitía a un atacante remoto que convencía a un usuario de realizar una interacción de interfaz de usuario específica explotar potencialmente la corrupción de heap a través de una página HTML manipulada.

Versiones afectadas:

Google Chrome anterior a 111.0.5563.64

RECOMENDACIONES

Actualice a la versión 111.0.5563.64 de Google Chrome (Linux y Mac).
Actualice a la versión 111.0.5563.64/.65 de Google Chrome (Windows).

REFERENCIAS

https://chromereleases.googleblog.com/2023/03/stable-channel-update-for-desktop.html
https://nvd.nist.gov/vuln/detail/CVE-2023-1213
https://nvd.nist.gov/vuln/detail/CVE-2023-1214
https://nvd.nist.gov/vuln/detail/CVE-2023-1215
https://nvd.nist.gov/vuln/detail/CVE-2023-1216
https://nvd.nist.gov/vuln/detail/CVE-2023-1218
https://nvd.nist.gov/vuln/detail/CVE-2023-1219
https://nvd.nist.gov/vuln/detail/CVE-2023-1220
https://nvd.nist.gov/vuln/detail/CVE-2023-1222
https://nvd.nist.gov/vuln/detail/CVE-2023-1227

Artículos relacionados
Ver todas →
Alertas
Vulnerabilidad SonicOS VPN
Leer más →
Alertas
Exploits para vulnerabilidad crítica CVE-2021-1675
Leer más →
Alertas
Vulnerabilidad crítica VPN Pulse Secure
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día