Nueva vulnerabilidad zero-day en Google Chrome, actualiza ya

Google Chrome es, desde hace ya algunos años, el navegador web más empleado del mundo, y con una gran diferencia con respecto a sus competidores. No voy a abundar en las razones por las que el navegador de Google es tan exitoso, y tampoco en el eterno debate entre si deberían pesar más sus virtudes y sus defectos, en esta ocasión me quedo con los números y, a este respecto, los datos más recientes de StatCounter, de octubre de 2023, reflejan una cuota de mercado en escritorio del 63,24%, seguido (muy de lejos) por Apple Safari con un 12,74% y Microsoft Edge con un 10,80%. En cuanto a las métricas en nuestro país, Google Chrome sube hasta el 71,38%, mientras que Edge y Safari intercambian posiciones, con un 9,04% y un 7,25% respectivamente.

Así, cuando se identifica un problema de seguridad que afecta a este navegador, el nivel de alerta debe ser especialmente elevado, pues fijándonos en los datos de España hablamos de una amenaza que se cierne sobre más de 7 de cada 10 usuarios de PC que se conectan a Internet, es decir, que hablamos de millones de personas solo en nuestro país. Si extrapolamos estos datos al resto del mundo, vemos claramente que el alcance es monumental.

Esto es lo que está ocurriendo, una vez más, con Google Chrome, y es que la compañía ha publicado una actualización que contiene nada menos que siete correcciones relacionadas con la seguridad, entre las cuales se encuentra la que mitiga la vulnerabilidad identificada como CVE-2023-6345. No es mucho lo que se ha revelado sobre ella, pues Google se adhiere a las prácticas de comunicación responsable, pero sí que sabemos que tiene su origen en Skia, una biblioteca de gráficos 2D de código abierto y, lo que resulta especialmente preocupante, que ya se ha detectado la explotación de la misma in the wild.

Para los no familiarizados con la terminología propia del mundo de la ciberseguridad, a continuación aclaro tres conceptos-términos especialmente relevantes:

• CVE: siglas de Common Vulnerabilities and Exposures, un sistema estandarizado de catalogación e identificación de problemas de seguridad. Este sistema permite identificar rápidamente la amenaza a la que estamos aludiendo, algo que puede ser más complejo si nos referimos a las mismas por los nombres que, en ocasiones, se les asignan.
• Divulgación responsable: política de seguridad consistente en revelar, inicialmente, la existencia de la vulnerabilidad, pero no su naturaleza. De este modo se alienta a los usuarios a tomar las medidas necesarias para protegerse, pero no se explica en qué consiste para evitar que sea explotada por parte de quienes pudieran tener acceso a dicha información. Transcurrido un plazo prudencial, que se puede establecer en función de tiempo, de las medidas adoptadas por los responsables o de volumen de usuarios ya protegidos, se procede a la divulgación completa de la naturaleza de la vulnerabilidad.
• In the wild: concepto empleado muy habitualmente en el sector de la seguridad para hacer referencia a que se ha detectado la explotación de una vulnerabilidad por parte de terceros, y generalmente de manera malintencionada.
• Zero-day: vulnerabilidad que acaba de ser detectada in the wild. Aunque puede haber excepciones, podemos asociar el concepto a un problema de seguridad que ya está siendo explotado pero que acaba de ser identificado y que, por lo tanto, todavía no cuenta con una solución para mitigar la amenaza. Según a quién le preguntes, «día cero» hace alusión al tiempo que ha pasado desde que se detectó el problema o al tiempo que la tecnológica afectada ha podido dedicar a solucionarlo.

Como puedes deducir, las vulnerabilidades zero-day son, por norma general, las más peligrosas, pues ya están en manos de los ciberdelincuentes pero inicialmente no hay protección frente a las mismas. Esta es la razón por la que las tecnológicas deben actuar a la carrera y, claro, una vez que estén disponibles las soluciones, los usuarios afectados deben aplicarlas de inmediato para no ponerse en riesgo.

Así, si eres usuario de Google Chrome en escritorio, debes asegurarte de actualizar tu navegador tan pronto como sea posible. Éstas son las versiones actualizadas y que, por lo tanto, solventan la vulnerabilidad CVE-2023-6345, entre otras:

• Windows: 119.0.6045.199 /.200
• Linux y macOS: 119.0.6045.199

Para comprobar qué versión tienes, e instalar la actualización si es necesario y está disponible, haz click en el menú (tres puntos verticales a la derecha de la barra de direcciones/búsqueda) y, en el menú que se desplegará, desplázate hasta Ayuda y haz click en Información de Google Chrome. De este modo se abrirá una nueva pestaña con información de tu navegador en la que podrás ver la versión actual y, de ser necesario, se activará automáticamente la descarga de la actualización.

Como indicaba anteriormente, la extrema urgencia de esta actualización se debe a la vulnerabilidad CVE-2023-6345, pero Google ha sumado a la misma las correcciones de otras vulnerabilidades, son las siguientes:

• CVE-2023-6348
• CVE-2023-6347
• CVE-2023-6346
• CVE-2023-6350
• CVE-2023-6351

Y un conjunto de correcciones no asociadas a vulnerabilidades descritas, pero que mejoran la seguridad del navegador. Como puedes comprobar, por lo tanto y si eres usuario de Google Chrome, deberías revisar si ya puedes instalar la actualización y, en tal caso, hacerlo de inmediato.