Google corrige Quinto Error de Día Cero en Chrome que estuvo siendo explotado este año

TEAM CSIRT

Google acabó de lanzar una nueva actualización de seguridad para Google Chrome, el cual aborda varias vulnerabilidades, en la que incluyen la falla de día cero que se estuvo explotando recientemente.

Esta actualización ha sido implementada para MAC, Linux y Windows. Quienes tengan activadas las actualizaciones automáticas, las recibirán en los siguientes días.

Google no proporcionará detalles técnicos acerca de la vulnerabilidad hasta que una gran cantidad de usuarios presenten el navegador actualizado.

El CVE-2022-2856 es el más reciente y presenta un problema de seguridad de gravedad alta debido a «validación insuficiente de entradas no confiables en Intents», lo cual permitiría iniciar aplicaciones o servicios web desde una página en el navegador.

Google comentó en un aviso de seguridad reciente que existe un exploit para el CVE-2022-2856.

La validación de entrada errónea en el navegador puede servir de guía para deshabilitar protecciones o exceder el alcance para lo que ha sido diseñada, lo que puede provocar que el búfer se desborde, poder recorrer entre directorios, inyección SQL y más.

Otras correcciones incluidas son:

  • Critical CVE-2022-2852: Use after free in FedCM. Reported on 2022-08-02
  • High CVE-2022-2854: Use after free in SwiftShader. Reported on 2022-06-18
  • High CVE-2022-2855: Use after free in ANGLE. Reported on 2022-07-16
  • High CVE-2022-2857: Use after free in Blink. Reported on 2022-06-21
  • High CVE-2022-2858: Use after free in Sign-In Flow. Reported on 2022-07-05
  • High CVE-2022-2853: Heap buffer overflow in Downloads. Reported on 2022-08-04
  • Medium CVE-2022-2859: Use after free in Chrome OS Shell. Reported on 2022-06-22
  • Medium CVE-2022-2860: Insufficient policy enforcement in Cookies. Reported on 2022-07-18
  • Medium CVE-2022-2861: Inappropriate implementation in Extensions API. Reported on 2022-07-21

Recomendaciones:

  • Realizar la actualización lo más pronto posible, seleccionar «Acerca de Chrome» y permitir que el verificador busque actualizaciones recientes, para Linux y MAC la actualización es 104.0.5112.101 y 104.0.5112.102 para Windows.

Referencias:

  • https://www.bleepingcomputer.com/news/security/google-fixes-fifth-chrome-zero-day-bug-exploited-this-year/
  • https://securityonline.info/chrome-releases-security-update-to-fix-0-day-cve-2022-2856-vulnerability/
  • https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_16.html
  • https://sites.google.com/a/chromium.org/dev/Home/chromium-security
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2856