Múltiples vulnerabilidades en Google Chrome
INTRODUCCIÓN
Se han encontrado diversas vulnerabilidades en diferentes versiones de Google Chrome. Se cubrirán los siguientes CVE: CVE-2023-2033 y CVE-2023-2133 -- CVE-2023-2136 que no tienen CVSS todavía pero Google las ha clasificado con criticidad alta.
ANÁLISIS
CVE-2023-2033 CVSS 8.8:
La confusión de tipos en V8 en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.
CVE-2023-2133 CVSS -:
El acceso a memoria fuera de los límites en la API de Service Worker permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.
CVE-2023-2134 CVSS -:
El acceso a memoria fuera de los límites en la API de Service Worker permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.
CVE-2023-2135 CVSS -:
El uso después de free en DevTools permitía a un atacante remoto que convencía a un usuario de habilitar condiciones previas específicas explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.
CVE-2023-2136 CVSS -:
El desbordamiento de enteros en Skia en Google Chrome permitía a un atacante remoto que hubiera comprometido el proceso de renderizado realizar potencialmente un escape de sandbox a través de una página HTML manipulada.
VERSIONES AFECTADAS
CVE-2023-2033:
Google Chrome anterior a 112.0.5615.121
CVE-2023-2133--CVE-2023-2136:
Google Chrome anterior a 112.0.5615.137
RECOMENDACIONES
Actualice a la siguiente versión en función del dispositivo:
- 112.0.5615.137/138 para Windows
- 112.0.5615.137 para Mac
- 112.0.5615.165 para Linux
- 112.0.5615.135/.136 para Android
- 112.0.5615.70 para iOS
REFERENCIAS
https://chromereleases.googleblog.com/search/label/Stable%20updates
https://nvd.nist.gov/vuln/detail/CVE-2023-2033
https://nvd.nist.gov/vuln/detail/CVE-2023-2133
https://nvd.nist.gov/vuln/detail/CVE-2023-2134
https://nvd.nist.gov/vuln/detail/CVE-2023-2135
https://nvd.nist.gov/vuln/detail/CVE-2023-2136