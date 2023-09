Google lanzou unha actualización de seguranza fóra de banda para parchear unha vulnerabilidade crítica no seu navegador web Chrome. O fallo, coñecido como CVE-2023-4863, implica un desbordamento do búfer de pila que afecta ao formato de imaxe WebP. Esta vulnerabilidade pode levar a execución de código arbitrario ou fallos.

O descubrimento da vulnerabilidade foi acreditado a Apple Security Engineering and Architecture (SEAR) e The Citizen Lab da Munk School da Universidade de Toronto. Non se revelaron os detalles específicos do exploit, pero Google recoñeceu que se observou un exploit para CVE-2023-4863 en estado salvaxe.

Este último parche forma parte dos esforzos continuos de Google para solucionar as vulnerabilidades de día cero en Chrome. Desde principios de ano, a compañía xa arranxou catro deste tipo de vulnerabilidades.

Ademais do parche de Google, Apple tamén ampliou as súas correccións para abordar CVE-2023-41064, outra vulnerabilidade relacionada co procesamento de imaxes. Esta vulnerabilidade é un problema de desbordamento do búfer no compoñente Image I/O, que pode levar a execución de código arbitrario. Utilizouse xunto con CVE-2023-41061 nunha cadea de explotación de iMessage de clic cero chamada BLASTPASS para implementar o spyware Pegasus en iPhones totalmente parcheados con iOS 16.6.

As semellanzas entre CVE-2023-41064 e CVE-2023-4863, ambos relacionados co procesamento de imaxes e informados por Apple e The Citizen Lab, suxiren unha posible conexión entre as dúas vulnerabilidades.

Para protexerse de posibles ameazas, recoméndase aos usuarios que actualicen o seu navegador Chrome á versión 116.0.5845.187/.188 para Windows e 116.0.5845.187 para macOS e Linux. Os usuarios de navegadores baseados en Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, tamén deberían aplicar os parches en canto estean dispoñibles.

