Google acaba de lanzar una actualización no programada para abordar una vulnerabilidad de día cero que se cree que es explotada activamente por piratas informáticos en el navegador Google Chrome. Este es el primer error crítico de 2023 en el navegador con la mayor cuota de mercado del mundo en la actualidad.

La vulnerabilidad, identificada como CVE-2023-2033, fue reportada por Clement Lecigne del Grupo de Análisis de Amenazas (TAG) de Google el 11 de abril de 2023. Google TAG es un grupo de expertos encargados de descubrir e informar vulnerabilidades de día cero explotadas en ataques altamente específicos por actores de amenazas patrocinados por el gobierno.

La vulnerabilidad, clasificada como de alta gravedad, se describe como un problema de confusión de tipos en el motor JavaScript V8. Un error de tipo en V8 en Google Chrome anterior a la versión 112.0.5615.121 permite a atacantes remotos explotar potencialmente la corrupción del montón a través de una página HTML diseñada.

Si bien este error generalmente permite que un atacante provoque un bloqueo del navegador tras una explotación exitosa al leer o escribir datos fuera de los límites del búfer, también puede permitir que los piratas informáticos ejecuten código en dispositivos comprometidos. La alta gravedad de la vulnerabilidad llevó a Google a decir que el acceso a los detalles del error estaría restringido hasta que la mayoría de los usuarios tuvieran el parche.

También es posible que Google continúe restringiendo el acceso a esta falla de seguridad, ya que también está presente en bibliotecas o proyectos de terceros que dependen de JavaScript V8 y no han sido parcheados.

Los usuarios de navegadores basados ​​en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, también deben aplicar las correcciones tan pronto como se publiquen. Para comprobar la nueva versión de Google Chrome, desde el navegador del usuario vaya a Chrome > Ayuda > Acerca de Google Chrome.