Google detectó en las últimas horas ataques informáticos ocurridos gracias a una falla grave en la seguridad del navegador Chrome.

La alerta se dispara apenas dos días después de que Google reparara una vulnerabilidad de “día cero”, término que denomina a las brechas de seguridad que son descubiertas por hackers antes de que los desarrolladores o los usuarios las noten.

Por lo general, esto produce una ventana de oportunidad —que se cierra cuando el fabricante resuelve el problema— de la que los atacantes pueden sacar partido.

El martes, Google emitió un boletín de seguridad que mencionaba la vulnerabilidad de Chrome recientemente descubierta, CVE-2023-2136, a la que se le otorgó una calificación de “gravedad alta”.

“Google es consciente de que existe un exploit para CVE-2023-2136”, advirtió la empresa.

No hay muchos detalles sobre la vulnerabilidad. Por ahora, Google lo describe como un “desbordamiento de enteros” que involucra el motor de gráficos Skia de código abierto, que es utilizado por Chrome, según informa la publicación especializada PC Magazine.

El informe oficial detalla que la explotación de la falla “permitió que un atacante remoto que había comprometido el proceso del renderizador realizara potencialmente un escape de sandbox a través de una página HTML manipulada”. Esto podría allanar el camino para que el pirata informático accediera a procesos informáticos adicionales para ejecutar código malicioso no confiable en una computadora, lo que podría propagar una infección.

A pesar de la falta de detalles, es posible que la falla se haya explotado junto con otra vulnerabilidad de día cero que Google emparchó el viernes pasado, llamada CVE-2023-2033, que involucraba un error en el motor JavaScript V8 para el navegador, añade el informe.

La empresa descubrió ambas fallas a través de Clément Lecigne, un investigador de seguridad del equipo del Grupo de Análisis de Amenazas de Google, que se dedica a rastrear los grupos de hackers más temibles y descubrir vulnerabilidades de día cero. Curiosamente, Lecigne descubrió CVE-2023-2033 el 11 de abril y luego CVE-2023-2136, el 12 de abril.

Ambos defectos también se pueden explotar a través de páginas HTML especialmente creadas. Sin relación o no, esto sugiere que las dos vulnerabilidades se usaron en ataques que involucraron la entrega de páginas HTML maliciosas a las víctimas, posiblemente a través de mensajes de phishing.

Afortunadamente, Google se movió rápidamente para reparar ambas fallas, una vez que las descubrió. La compañía ya preparó un parche para CVE-2023-2136 que debería implementarse ahora para los usuarios. La solución llegará como la versión de Chrome 112.0.5615.137.

Debería aparecer un botón para actualizar Chrome en la esquina superior derecha del navegador cuando la nueva versión esté disponible. De lo contrario, esa actualización puede buscarse en la esquina derecha del navegador, en “ayuda/información de Google Chrome”.