Google Chrome

Google Chrome: alerta mundial CVE-2023-7024

/ Ciberseguridad / Por

En un reciente desarrollo, se ha identificado una vulnerabilidad crítica en el popular navegador web Google Chrome, la cual ha sido catalogada como una falla de día cero de alta gravedad.

Google Chrome: alerta mundial CVE-2023-7024
Google Chrome: alerta mundial CVE-2023-7024

Designada con el identificador CVE-2023-7024, la vulnerabilidad se manifiesta como un error de desbordamiento del búfer basado en montón en el marco WebRTC, con el potencial de provocar fallos en el programa o permitir la ejecución de código arbitrario.

Esta vulnerabilidad ha sido confirmada como explotada en la naturaleza, lo que implica un riesgo significativo para la seguridad de los usuarios de Google Chrome en todo el mundo.

Ante esta situación, se emite una alerta global de ciberseguridad con el propósito de informar a la comunidad y proporcionar orientación sobre las medidas a tomar.

IMPACTO POTENCIAL:

La explotación exitosa de esta vulnerabilidad podría tener consecuencias graves, incluyendo la posibilidad de comprometer la integridad y confidencialidad de los datos almacenados, así como la ejecución de código no autorizado en los sistemas afectados.

ACCIONES RECOMENDADAS:
  1. ACTUALIZACIÓN INMEDIATA: Se insta a todos los usuarios de Google Chrome a aplicar las actualizaciones de seguridad proporcionadas por Google de manera inmediata. La instalación de la versión más reciente del navegador es crucial para mitigar los riesgos asociados con esta vulnerabilidad.
  2. VIGILANCIA ACTIVA: Los administradores de sistemas y usuarios avanzados deben realizar un monitoreo constante de la actividad en sus sistemas para identificar cualquier comportamiento anómalo que pueda indicar la explotación de la vulnerabilidad.
  3. CONCIENCIACIÓN DE LOS USUARIOS: Se recomienda encarecidamente a todos los usuarios que estén al tanto de la situación y adopten prácticas de navegación seguras. Evitar interactuar con enlaces o archivos sospechosos contribuirá a reducir el riesgo de exposición a posibles amenazas.
  4. ASISTENCIA TÉCNICA: En caso de sospecha o detección de actividad maliciosa, se aconseja a los usuarios ponerse en contacto con el soporte técnico de Google Chrome o buscar asesoramiento de profesionales en ciberseguridad.

Esta alerta tiene como objetivo informar a la comunidad global sobre la existencia de esta vulnerabilidad crítica y fomentar la toma de medidas inmediatas para garantizar la seguridad en línea. La colaboración y la atención a estas recomendaciones son esenciales para proteger la integridad de los sistemas y datos.

DESCUBRIMIENTO DE LA VULNERABILIDAD EN GOOGLE CHROME (CVE-2023-7024) POR EL GRUPO DE ANÁLISIS DE AMENAZAS (TAG) DE GOOGLE

Google Chrome: CVE-2023-7024
Google Chrome: CVE-2023-7024

El 19 de diciembre de 2023, Clément Lecigne y Vlad Stolyarov del Grupo de Análisis de Amenazas (TAG) de Google identificaron y reportaron una vulnerabilidad crítica en el navegador web Google Chrome, designada con el código CVE-2023-7024. Este descubrimiento ha llevado a la emisión de una alerta global de ciberseguridad, ya que Google confirma la existencia de un exploit para esta vulnerabilidad en la naturaleza.

DETALLES DE LA VULNERABILIDAD:

La vulnerabilidad en cuestión ha sido descrita como un error de desbordamiento del búfer basado en montón en el marco WebRTC de Google Chrome. Esta falla de día cero de alta gravedad tiene el potencial de provocar fallos en el programa y permitir la ejecución de código arbitrario en los sistemas afectados.

ACCIONES TOMADAS POR GOOGLE:

En respuesta al descubrimiento, Google ha implementado actualizaciones de seguridad para abordar esta vulnerabilidad crítica. No obstante, se reconoce abiertamente la existencia de un exploit para CVE-2023-7024 en la naturaleza, subrayando la necesidad urgente de que los usuarios actualicen sus navegadores para mitigar los riesgos asociados con esta amenaza.

ENFOQUE DE SEGURIDAD:

Por motivos de seguridad y para prevenir posibles abusos, no se han publicado detalles adicionales sobre la vulnerabilidad. Esta medida busca proteger a los usuarios al limitar la información disponible para posibles actores malintencionados.

RECOMENDACIONES PARA LOS USUARIOS:
  • Actualice Google Chrome a la versión más reciente de inmediato.
  • Esté alerta ante posibles comportamientos anómalos en sus sistemas.
  • Refuerce las prácticas de navegación seguras y evite interacciones con enlaces o archivos sospechosos.

La colaboración entre la comunidad de usuarios y los proveedores de servicios es esencial para abordar esta vulnerabilidad crítica y garantizar la seguridad en línea. Para consultas adicionales o asistencia, se insta a los usuarios a ponerse en contacto con el soporte técnico de Google Chrome.

Google Chrome: CVE-2023-7024
Google Chrome: CVE-2023-7024

La reciente identificación de la vulnerabilidad crítica (CVE-2023-7024) en Google Chrome, atribuida al equipo de Clément Lecigne y Vlad Stolyarov del Grupo de Análisis de Amenazas (TAG) de Google, ha planteado interrogantes sobre la extensión del impacto más allá de Chrome y los navegadores basados en Chromium.

Dado que WebRTC es un proyecto de código abierto y es compatible con otros navegadores como Mozilla Firefox y Apple Safari, la comunidad de seguridad está evaluando la posible afectación en estos entornos.

INFORMACIÓN ADICIONAL: Hasta el momento, no está claro si la vulnerabilidad identificada en Google Chrome tiene repercusiones en otros navegadores que también implementan WebRTC. La naturaleza de código abierto de WebRTC sugiere que la colaboración entre los equipos de desarrollo de diferentes navegadores es esencial para abordar posibles amenazas de manera conjunta.

Esta vulnerabilidad en Chrome marca la resolución del octavo día cero explotado activamente en el navegador desde el inicio del año. Cabe destacar otras vulnerabilidades reveladas en 2023, algunas de las cuales han sido explotadas por actores de amenazas y grupos de ransomware:

  • CVE-2023-2033: Confusión de tipos en V8 (Puntuación CVSS: 8,8)
  • CVE-2023-2136: Desbordamiento de enteros en Skia (Puntuación CVSS: 9,6)
  • CVE-2023-3079: Confusión de tipos en V8 (Puntuación CVSS: 8,8)
  • CVE-2023-4762: Confusión de tipos en V8 (Puntuación CVSS: 8,8)
  • CVE-2023-4863: Desbordamiento del búfer de montón en WebP (Puntuación CVSS: 8,8)
  • CVE-2023-5217: Desbordamiento del búfer de montón en codificación vp8 en libvpx (Puntuación CVSS: 8,8)
  • CVE-2023-6345: Desbordamiento de enteros en Skia (Puntuación CVSS: 9,6)

En lo que va de 2023, se han revelado un total de 26,447 vulnerabilidades, superando el año anterior en más de 1,500 CVE, según datos recopilados por Qualys. Además, se reportaron 115 fallas explotadas por actores de amenazas y grupos de ransomware, subrayando la necesidad de una vigilancia continua y la aplicación diligente de actualizaciones de seguridad.

La comunidad de ciberseguridad se encuentra en alerta máxima, y se insta a los usuarios y administradores de sistemas a seguir las recomendaciones de actualización y mejores prácticas de seguridad para mitigar los riesgos asociados con estas vulnerabilidades.

 

Por Marcelo Lozano – General Publisher IT CONNECT LATAM

NO TE PIERDAS EL ÚLTIMO IT CONNECT SECURE STREAM

https://youtu.be/fCNcyN-wkik

Lee más sobre ciberseguridad en;

Ciberseguridad: 3 pilares que garantizan la protección de datos

DNI electrónico: iProov el mejor complemento 2023

Krasue: un troyano de diseño para Linux 2024

Firmware 5G: originalmente inseguro

GambleForce: 2023 cierra con nuevas amenazas

 

 

Scroll al inicio