This post is also available in: Português Español
Los expertos en ciberseguridad han emitido una actualización de emergencia de Google Chrome a su última versión debido a una vulnerabilidad de día cero, la novena del año, que está siendo explotada activamente.
La vulnerabilidad, que se rastrea como CVE-2022-4262, es una falla de confusión de tipos muy crítica en el motor JavaScript V8 de Chrome, y fue reportada por Clement Lecigne de TAG de Google el 29 de noviembre.
Google ha confirmado la existencia de un exploit que los ciberdelincuentes pueden usar contra el día cero recientemente informado de Chrome.
Los ciberdelincuentes que explotan la vulnerabilidad de Chrome podrían realizar ataques basados en RCE al mostrar código no confiable de una página maliciosa, lo que resultaría en ataques de ejecución de código arbitrario.
Además, el día cero de Chrome podría permitir que un atacante remoto explotara potencialmente la pila a través de una página HTML especialmente diseñada.
Actualizaciones de emergencia
Google afirmó haber resuelto el día cero para diferentes plataformas de sistemas operativos con la nueva actualización de Google Chrome.
La empresa ha preparado las versiones 108.0.5359.94 para Mac y Linux y la versión 108.0.5359.94/95 para Windows.
Sin embargo, es posible que los usuarios tengan que esperar unos días antes de que les llegue la actualización.
Detalles técnicos del día cero
Los investigadores de Google no compartieron detalles técnicos sobre la vulnerabilidad para permitir que los usuarios completen sus actualizaciones de Chrome. De lo contrario, si la hubieran compartido, los ciberdelincuentes comenzarían a abusar de la vulnerabilidad.
Además, la Agencia de Infraestructura y Ciberseguridad (CISA) agregó la vulnerabilidad de Chrome de día cero a su catálogo de vulnerabilidades explotadas, ordenando a las agencias civiles y federales que corrijan el error antes del 26 de diciembre.
El noveno día cero de Chrome en 2022
Solo en ese año, hubo nueve vulnerabilidades de día cero en Chrome.
Google había anunciado la octava vulnerabilidad de día cero hace apenas dos semanas y ahora anuncia la novena.
Mira cuáles fueron los días cero de Chrome este año:
- CVE-2022-4135: anunciado el 25 de noviembre: Problema de desbordamiento del búfer de pila de GPU
- CVE-2022-3723 – anunciado el 28 de octubre: Problema de confusión de tipos que reside en el motor de JavaScript V8;
- CVE-2022-3075 – anunciado el 2 de septiembre: validación de datos insuficiente en la colección de bibliotecas de tiempo de ejecución de Mojo;
- CVE-2022-2856 – anunciado el 17 de agosto: Validación insuficiente de entrada no confiable
- CVE-2022-2294 – anunciado el 4 de julio: desbordamiento del búfer de almacenamiento dinámico en el componente Web Real-Time Communications (WebRTC)
- CVE-2022-1364 – anunciado el 14 de abril: Problema de confusión de tipos que reside en el motor de JavaScript V8
- CVE-2022-1096 – anunciado el 25 de marzo: confusión de tipos en el motor de JavaScript V8
- CVE-2022-0609 – anunciado el 14 de febrero: problema con el componente de animación
Todos estos ahora han sido parcheados, y la actualización para la última vulnerabilidad de día cero ya está disponible y es necesaria para eliminar cualquier amenaza que plantee el exploit.
Fuentes: Google Blog, Security Affairs, The Record.
This post is also available in: Português Español