Alertas

Múltiples vulnerabilidades en Google Chrome

20 Apr 2023

INTRODUCCIÓN

Se han encontrado diversas vulnerabilidades en diferentes versiones de Google Chrome. Se cubrirán los siguientes CVE: CVE-2023-2033 y CVE-2023-2133 -- CVE-2023-2136 que no tienen CVSS todavía pero Google las ha clasificado con criticidad alta.

ANÁLISIS

CVE-2023-2033 CVSS 8.8:

La confusión de tipos en V8 en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-2133 CVSS -:

El acceso a memoria fuera de los límites en la API de Service Worker permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-2134 CVSS -:

El acceso a memoria fuera de los límites en la API de Service Worker permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-2135 CVSS -:

El uso después de free en DevTools permitía a un atacante remoto que convencía a un usuario de habilitar condiciones previas específicas explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-2136 CVSS -:

El desbordamiento de enteros en Skia en Google Chrome permitía a un atacante remoto que hubiera comprometido el proceso de renderizado realizar potencialmente un escape de sandbox a través de una página HTML manipulada.

VERSIONES AFECTADAS

CVE-2023-2033:

Google Chrome anterior a 112.0.5615.121

CVE-2023-2133--CVE-2023-2136:

Google Chrome anterior a 112.0.5615.137

RECOMENDACIONES

Actualice a la siguiente versión en función del dispositivo:

112.0.5615.137/138 para Windows
112.0.5615.137 para Mac
112.0.5615.165 para Linux
112.0.5615.135/.136 para Android
112.0.5615.70 para iOS

REFERENCIAS

https://chromereleases.googleblog.com/search/label/Stable%20updates
https://nvd.nist.gov/vuln/detail/CVE-2023-2033
https://nvd.nist.gov/vuln/detail/CVE-2023-2133
https://nvd.nist.gov/vuln/detail/CVE-2023-2134
https://nvd.nist.gov/vuln/detail/CVE-2023-2135
https://nvd.nist.gov/vuln/detail/CVE-2023-2136

Cookie	Duración	Descripción
_GRECAPTCHA	6 meses	El servicio recaptcha de Google configura esta cookie para identificar bots y proteger el sitio web contra ataques de spam maliciosos.
cookielawinfo-checkbox-analytics	1 año	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	1 año	La cookie está configurada por el complemento de consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necesaria	1 año	Establecido por el complemento de consentimiento de cookies de GDPR para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
CookieLawInfoConsent	1 año	Registra el estado del botón predeterminado de la categoría correspondiente el estado de CCPA. Funciona solo en coordinación con la cookie principal.