Fecha de publicación: Vie, 22/09/2023 - 18:29

Aviso de seguridad

Nivel de peligrosidad: Crítico

Descripción

CVE-2023-4863 (CVSS 8.8), es una vulnerabilidad de desbordamiento de búfer de pila en la biblioteca de compresión de imágenes WebP de Google. Esta vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en un sistema vulnerable.

La vulnerabilidad se encuentra en la función WebPDecodeYUV420Planar de la biblioteca WebP. Esta función es responsable de decodificar imágenes WebP en formato YUV420Planar. El desbordamiento de búfer ocurre cuando un atacante puede proporcionar una entrada mal formada que causa que la función lea más datos de los que caben en el búfer.

Un atacante puede explotar esta vulnerabilidad proporcionando una imagen WebP mal formada a un sistema vulnerable. Cuando el sistema intente decodificar la imagen, se producirá un desbordamiento de búfer y el atacante podrá ejecutar código arbitrario en el sistema.

Esta vulnerabilidad se ha explotado en la naturaleza. Los atacantes han utilizado esta vulnerabilidad para instalar malware en sistemas vulnerables.

Recursos afectados

  • Google Chrome en versiones anteriores a 116.0.5845.187/.188 para Windows
  • Google Chrome en versiones 116.0.5848.187 para macOS y Linux
  • Firefox en versiones anteriores a 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 y Thunderbird 115.2.2.

Solución

Se debe actualizar Google Chrome y Mozilla a las siguientes versiones:

  • Google Chrome a la versión 116.0.5845.187/.188 para Windows
  • Google Chrome a la versión 116.0.5848.187 para macOS y Linux
  • Firefox a las versiones 117.0.1, Firefox ESR 115.2.1, Firefox ESR 102.15.1, Thunderbird 102.15.1 y Thunderbird 115.2.2.

Recomendaciones

Se recomienda a los usuarios de los productos afectados actualizar a las versiones más recientes lo antes posible. También,  se recomienda a los usuarios de navegadores basados ​​en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.

Referencias

Google Chrome y Mozilla parcha una vulnerabilidad crítica que está siendo explotada en la naturaleza