Google ha lanzado Chrome 100.0.4896.127 para los equipos con sistemas operativos Windows, Mac y Linux, para reparar una vulnerabilidad zero day, la cual es clasificada de alta gravedad utilizada activamente por los actores de amenazas en los ataques.
Type Confusion (CVE-2022-1364)
La vulnerabilidad acceso al recurso usando un tipo incompatible (confusión de tipos) generalmente provocan fallas en el navegador luego de una explotación exitosa al leer o escribir memoria fuera de los límites del búfer, los atacantes también pueden explotarlas para ejecutar código arbitrario.
Google dijo que detectó ataques que explotan este zero day e indico lo siguiente: «El acceso a los detalles de los errores y los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución».
A la fecha de esta publicación, la vulnerabilidad no posee una puntuación CVSS y se encuentra pendiente de publicación.
Productos afectados:
- Todas la versiones de Google Chrome menores a 100.0.4896.127
Recomendaciones:
- Actualizar Google Chrome a la versión 100.0.4896.127
- Actualizar a la ultima versión los navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi.
Pasos para actualizar Google Chrome manualmente:
Menú de Chrome > Ayuda > Acerca de Google Chrome > Reiniciar.
Referencias:
- https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_14.html
- https://thehackernews.com/2022/04/google-releases-urgent-chrome-update-to.html
- https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-zero-day-used-in-attacks/
- https://cwe.mitre.org/data/definitions/843.html