Alertas Google Chrome Septiembre 2023
9VSA23-00909-01 CSIRT informa de nueva vulnerabilidad de día cero que afecta a Google Chrome, parchada en su más reciente actualización
Resumen
El CSIRT de Gobierno comparte información de varias vulnerabilidades, entre ellas una nueva vulnerabilidad de día cero que afecta a Google Chrome, que ha sido parchada en la más reciente actualización del navegador (117.0.5938.132) para Windows, Mac y Linux.
Vulnerabilidades
CVE-2023-5217
CVE-2023-5186
CVE-2023-5187
Impacto
Vulnerabilidades de riesgo crítico
CVE-2023-5217: Vulnerabilidad de desbordamiento de buffer en el encoding vp8 en libvpx.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Productos afectados
Google Chrome.
Enlaces
https://chromereleases.googleblog.com/2023/09/stable-channel-update-for-desktop_27.html
https://www.cve.org/CVERecord?id=CVE-2023-5217
https://www.cve.org/CVERecord?id=CVE-2023-5186
https://www.cve.org/CVERecord?id=CVE-2023-5187
https://nvd.nist.gov/vuln/detail/CVE-2023-5217
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00909-01
Alertas Microsoft Septiembre 2023
9VSA23-00911-01 CSIRT informa de parches de Microsoft para vulnerabilidades en libwebp y libvpx
Resumen
El CSIRT de Gobierno comparte información de actualizaciones de seguridad de emergencia publicados por Microsoft para parchar sus productos contra una vulnerabilidad que ataca a libwebp, y otra que afecta a libvpx.
Vulnerabilidades
CVE-2023-4863
CVE-2023-5217
Impacto
Vulnerabilidades de riesgo alto
CVE-2023-4863: Vulnerabilidad causada por un desbordamiento de buffer en lotes en biblioteca de códigos WebP (libwebp), que podría llevar a programas a colgarse y permitir ejecución arbitraria de código.
CVE-2023-5217: Vulnerabilidad causada por un desbordamiento de buffer en lotes en la codificación de VP8 de la biblioteca de codecs de video libvpx, que podría llevar a programas a colgarse y permitir ejecución arbitraria de código.
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Productos afectados
Microsoft Edge
Microsoft Teams for Desktop
Skype for Desktop
Webp Image Extensions (Released on Windows and updates through Microsoft Store)
Enlaces
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-4863
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-5217
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA23-00911-01.