Google ha lanzado una actualización para su navegador Chrome que incluye 11 correcciones de seguridad, una de las cuales supuestamente ya ha sido explotada.
La vulnerabilidad que se informa está siendo explotada, se ha identificado como CVE-2022-0609.
La falla de seguridad se describe como una vulnerabilidad Use-after-free (UAF) en el componente Animation. UAF es un tipo de vulnerabilidad que resulta del uso incorrecto de la memoria dinámica durante la operación de un programa. Si, después de liberar una ubicación de memoria, un programa no borra el puntero a esa memoria, un atacante puede usar el error para manipular el programa. Hacer referencia a la memoria después de que se haya liberado puede hacer que un programa se bloquee, use valores inesperados o ejecute código. En este caso, cuando se explota la vulnerabilidad, esto puede provocar la corrupción de datos válidos y la ejecución de código arbitrario en los sistemas afectados.
Como resultado, un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite, desencadenar la vulnerabilidad UAF y ejecutar código arbitrario en el sistema de destino.
Los investigadores que encontraron y reportaron la falla son Adam Weidemann y Clément Lecigne del Threat Analysis Group (TAG) de Google. Como de costumbre, Google no ha entrado en más detalles sobre el error. El acceso a los detalles de errores y enlaces generalmente está restringido hasta que la mayoría de los usuarios se actualizan con una solución.
Otras vulnerabilidades que han sido descubiertas por investigadores externos son:
- CVE-2022-0603 usar UAF en el administrador de archivos.
- CVE-2022-0604 desbordamiento de búfer de almacenamientodinámico en grupos de pestañas.
- CVE-2022-0605 usar UAF en la API de la tienda web.
- CVE-2022-0606 usar UAF en ANGLE.
- CVE-2022-0607 usar UAF en GPU.
- CVE-2022-0608 desbordamiento de enteros en Mojo.
- CVE-2022-0610 Implementación inapropiada en Gamepad API.
Cómo protegerse
Si es usuario de Chrome en Windows, Mac o Linux, debe actualizar a la versión 98.0.4758.102 lo antes posible.
La forma más fácil de actualizar Chrome es permitir que se actualice automáticamente, lo que básicamente utiliza el mismo método que se describe a continuación, pero no requiere su atención. Pero puede terminar retrasándose si nunca cierra el navegador o si algo sale mal, como una extensión que le impide actualizar el navegador.
Por lo tanto, no está de más comprobar de vez en cuando. Y ahora sería un buen momento, dada la gravedad de la vulnerabilidad. Esto se puede comprobar en la página chrome://settings/help que también puede encontrar haciendo click en Configuración > Acerca de Chrome.
Si hay una actualización disponible, Chrome lo notificará y comenzará a descargarla. Luego, todo lo que se tiene que hacer es reiniciar el navegador para que se complete la actualización.
Más información
- https://www.forbes.com/sites/daveywinder/2022/02/15/google-chrome-emergency-security-update-for-32-billion-as-attacks-underway/?sh=37301f905d78
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0609
- https://sensorstechforum.com/cve-2022-0609-zero-day-chrome/
- https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html
- https://vuldb.com/?id.193127