Alertas

Vulnerabilidades en Google Chrome 2023

24 Jul 2023

En 2023 Google Chrome lanzó una serie de actualizaciones cruciales que incluyen parches de seguridad para abordar múltiples vulnerabilidades detectadas. Estas vulnerabilidades, en su mayoría clasificadas con una gravedad media, podrían haber sido explotadas por atacantes remotos para comprometer la seguridad y la integridad de los sistemas afectados.

A lo largo de este artículo, exploraremos en detalle las principales vulnerabilidades descubiertas en Google Chrome durante el 2023. Cada una de estas vulnerabilidades presenta un riesgo potencial para la privacidad y seguridad por lo que es vital que todos los usuarios de Google Chrome actualicen su navegador para garantizar la total protección durante su uso.

Tabla de contenidos

Vulnerabilidades en Google Chrome Junio 2023
Vulnerabilidades en Google Chrome Mayo 2023
Vulnerabilidades en Google Chrome Abril 2023
Vulnerabilidades en Google Chrome Marzo 2023

Vulnerabilidades en Google Chrome Junio 2023

Google ha lanzado una nueva actualización de Chrome con nuevos parches de seguridad. Contiene 16 correcciones de seguridad. Entre ellas, 8 correcciones de seguridad de alta prioridad, que son en las que se centrará esta nota.

ANÁLISIS

CVE-2023-3214 Gravedad de seguridad de Chromium - Crítica:

Uso después de libre en pagos Autofill.

CVE-2023-3215 Gravedad de seguridad de Chromium - Alta:

Uso después de libre en WebRTC.

CVE-2023-3216 Gravedad de seguridad de Chromium - Alta:

Confusión tipográfica en V8.

CVE-2023-3217 Gravedad de seguridad de Chromium - Alta:

Uso después de free en WebXR.

CVE-2023-2929 Gravedad de seguridad de Chromium - Alta:

Escritura fuera de límites en Swiftshader.

CVE-2023-2930 Gravedad de seguridad de Chromium - Alta:

Uso después de free en Extensions.

CVE-2023-2931 Gravedad de seguridad de Chromium - Alta:

Uso después de free en PDF

CVE-2023-2932 Gravedad de seguridad de Chromium - Alta:

Uso después de free en PDF.

CVE-2023-2933 Gravedad de seguridad de Chromium - Alta:

Uso después de free en PDF.

CVE-2023-2934 Gravedad de seguridad de Chromium - Alta:

Acceso a memoria fuera de los límites en Mojo.

CVE-2023-2935 Gravedad de seguridad de Chromium - Alta:

Confusión de tipo en V8.

CVE-2023-2936 Gravedad de seguridad de Chromium - Alta:

Confusión de tipo en V8.

VERSIONES AFECTADAS

Versiones de Google Chrome anteriores a 114.0.5735.133 para Mac y Linux y 114.0.5735.133/134 para Windows.

Versiones de Google Chrome anteriores a 114.0.5735.90 (Linux y Mac) y 114.0.5735.90/91 (Windows)
Versiones de Google Chrome Extended Stable anteriores a 114.0.5735.90 (Mac) y 114.0.5735.91 (Windows)

RECOMENDACIONES

Actualice a la versión 114.0.5735.133 de Chrome para Mac y Linux
Actualice a la versión 114.0.5735.133/134 de Chrome para Windows
Actualice a las versiones 114.0.5735.90 (Linux y Mac) y 114.0.5735.90/91 (Windows) de Google Chrome.
Actualice a las versiones 114.0.5735.90 (Mac) y 114.0.5735.91 (Windows) de Google Chrome Extended Stable.

REFERENCIAS

https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop_13.html
https://nvd.nist.gov/vuln/detail/CVE-2023-3214
https://nvd.nist.gov/vuln/detail/CVE-2023-3215
https://nvd.nist.gov/vuln/detail/CVE-2023-3216
https://nvd.nist.gov/vuln/detail/CVE-2023-3217

Vulnerabilidades en Google Chrome Mayo 2023

El canal estable de Google Chrome ha sido actualizado incluyendo 12 correcciones de seguridad. Entre ellas, se encuentran 1 problema crítico, 4 de gravedad alta y 1 de gravedad media. Esta nota se centrará en los de gravedad superior a alta.

ANÁLISIS

CVE-2023-2721 Gravedad de seguridad de Chromium - Crítica:

El uso después de free en Navigation en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML diseñada.

CVE-2023-2722 Gravedad de seguridad de Chromium - Alta:

El uso después de free en Autofill UI en Google Chrome en Android permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML diseñada.

CVE-2023-2723 Gravedad de seguridad de Chromium - Alta:

El uso después de la liberación en DevTools en Google Chrome permitía a un atacante remoto que hubiera comprometido el proceso de renderizado explotar potencialmente la corrupción de la pila a través de una página HTML diseñada.

CVE-2023-2724 Gravedad de seguridad de Chromium - Alta:

La confusión tipográfica en V8 en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML diseñada.

CVE-2023-2725 Gravedad de seguridad de Chromium - Alta:

El uso después de free en Guest View en Google Chrome permitía a un atacante que convencía a un usuario para instalar una extensión maliciosa explotar potencialmente la corrupción de la pila a través de una página HTML diseñada.

VERSIONES AFECTADAS

Versiones de Google Chrome anteriores a 113.0.5672.126 para Mac y Linux

Versiones de Google Chrome anteriores a 113.0.5672.126/.127 para Windows

RECOMENDACIONES

Actualice a la versión 113.0.5672.126 de Google Chrome para Mac y Linux

Actualice a la versión 113.0.5672.126/.127 de Google Chrome para Windows

REFERENCIAS

https://chromereleases.googleblog.com/2023/05/stable-channel-update-for-desktop_16.html
https://www.cve.org/CVERecord?id=CVE-2023-2721
https://www.cve.org/CVERecord?id=CVE-2023-2722
https://www.cve.org/CVERecord?id=CVE-2023-2723
https://www.cve.org/CVERecord?id=CVE-2023-2724
https://www.cve.org/CVERecord?id=CVE-2023-2725
https://www.cve.org/CVERecord?id=CVE-2023-2726

Vulnerabilidades en Google Chrome Abril 2023

Se han encontrado diversas vulnerabilidades en diferentes versiones de Google Chrome. Se cubrirán los siguientes CVE: CVE-2023-2033 y CVE-2023-2133 -- CVE-2023-2136 que no tienen CVSS todavía pero Google las ha clasificado con criticidad alta.

ANÁLISIS

CVE-2023-2033 CVSS 8.8:

La confusión de tipos en V8 en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-2133 CVSS -:

El acceso a memoria fuera de los límites en la API de Service Worker permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-2134 CVSS -:

El acceso a memoria fuera de los límites en la API de Service Worker permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-2135 CVSS -:

El uso después de free en DevTools permitía a un atacante remoto que convencía a un usuario de habilitar condiciones previas específicas explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-2136 CVSS -:

El desbordamiento de enteros en Skia en Google Chrome permitía a un atacante remoto que hubiera comprometido el proceso de renderizado realizar potencialmente un escape de sandbox a través de una página HTML manipulada.

VERSIONES AFECTADAS

CVE-2023-2033:

Google Chrome anterior a 112.0.5615.121

CVE-2023-2133--CVE-2023-2136:

Google Chrome anterior a 112.0.5615.137

RECOMENDACIONES

Actualice a la siguiente versión en función del dispositivo:

112.0.5615.137/138 para Windows
112.0.5615.137 para Mac
112.0.5615.165 para Linux
112.0.5615.135/.136 para Android
112.0.5615.70 para iOS

REFERENCIAS

https://chromereleases.googleblog.com/search/label/Stable%20updates
https://nvd.nist.gov/vuln/detail/CVE-2023-2033
https://nvd.nist.gov/vuln/detail/CVE-2023-2133
https://nvd.nist.gov/vuln/detail/CVE-2023-2134
https://nvd.nist.gov/vuln/detail/CVE-2023-2135
https://nvd.nist.gov/vuln/detail/CVE-2023-2136

Vulnerabilidades en Google Chrome Marzo 2023

Chrome 111.0.5563.64 (Linux y Mac), 111.0.5563.64/.65( Windows) contiene una serie de correcciones y mejoras entre las cuales se encuentran los parches de seguridad que indicaremos a continuación.
(CVE-2023-1213,CVE-2023-1214, CVE-2023-1215, CVE-2023-1216, CVE-2023-1218, CVE-2023-1219, CVE-2023-1220, CVE-2023-1222, CVE-2023-1227)

ANÁLISIS

CVE-2023-1213 CVSS 8.8:

El uso después de free en Swiftshader en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1214 CVSS 8.8:

La confusión de tipos en V8 en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1215 CVSS 8.8:

Una confusión tipográfica en CSS en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1216 CVSS 8.8:

El uso después de la liberación en DevTools en Google Chrome permitía a un atacante remoto que había convencido al usuario para participar en la interacción directa de la interfaz de usuario explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1218 CVSS 8.8:

El uso después de la liberación en WebRTC en Google Chrome permitía a un atacante remoto explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1219 CVSS 8.8:

El desbordamiento del búfer de la pila en Metrics en Google Chrome permitía a un atacante remoto que hubiera comprometido el proceso del renderizador explotar potencialmente la corrupción de la pila a través de una página HTML manipulada.

CVE-2023-1220 CVSS 8.8:

El desbordamiento del búfer de la pila en UMA en Google Chrome permitía a un atacante remoto que hubiera comprometido el proceso de renderización explotar potencialmente la corrupción de la pila mediante una página HTML manipulada.

CVE-2023-1222 CVSS 8.8:

El desbordamiento del búfer de heap en Web Audio API de Google permitía a un atacante remoto explotar potencialmente la corrupción de heap a través de una página HTML manipulada.

CVE-2023-1227 CVSS 8.8:

El uso después de free en Core en Google Chrome en Lacros permitía a un atacante remoto que convencía a un usuario de realizar una interacción de interfaz de usuario específica explotar potencialmente la corrupción de heap a través de una página HTML manipulada.

VERSIONES AFECTADAS

Google Chrome anterior a 111.0.5563.64

RECOMENDACIONES

Actualice a la versión 111.0.5563.64 de Google Chrome (Linux y Mac).
Actualice a la versión 111.0.5563.64/.65 de Google Chrome (Windows).

Cookie	Duración	Descripción
_GRECAPTCHA	6 meses	El servicio recaptcha de Google configura esta cookie para identificar bots y proteger el sitio web contra ataques de spam maliciosos.
cookielawinfo-checkbox-analytics	1 año	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	1 año	La cookie está configurada por el complemento de consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necesaria	1 año	Establecido por el complemento de consentimiento de cookies de GDPR para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
CookieLawInfoConsent	1 año	Registra el estado del botón predeterminado de la categoría correspondiente el estado de CCPA. Funciona solo en coordinación con la cookie principal.

Vulnerabilidades en Google Chrome 2023

Tabla de contenidos

Vulnerabilidades en Google Chrome Junio 2023

ANÁLISIS

VERSIONES AFECTADAS

RECOMENDACIONES

REFERENCIAS

Vulnerabilidades en Google Chrome Mayo 2023

ANÁLISIS

VERSIONES AFECTADAS

RECOMENDACIONES

REFERENCIAS

Vulnerabilidades en Google Chrome Abril 2023

ANÁLISIS

VERSIONES AFECTADAS

RECOMENDACIONES

REFERENCIAS

Vulnerabilidades en Google Chrome Marzo 2023

ANÁLISIS

VERSIONES AFECTADAS

RECOMENDACIONES

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día