Google emite una actualización de emergencia de Chrome para parchear un día cero
Google lanzó una actualización de seguridad de emergencia para el navegador web de escritorio Chrome. La actualización aborda una vulnerabilidad única que se sabe que se está explotando activamente en el entorno.
La vulnerabilidad de alta gravedad (CVE-2022-3723) es un error de confusión de tipos en el motor Chrome V8 Javascript descubierto e informado a Google por investigadores de Avast.
La empresa no proporcionó muchos detalles sobre la vulnerabilidad por razones de seguridad. Esto permite que la base de usuarios de Chrome tenga tiempo suficiente para actualizar el navegador web a la versión 107.0.5304.87/88, que soluciona el problema.
“El acceso a los detalles de los errores y los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución”.
“También mantendremos las restricciones si la vulnerabilidad existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se han solucionado”.
Google
En general, las vulnerabilidades de confusión de tipos ocurren cuando el programa asigna un recurso, objeto o variable usando un tipo y luego accede a él usando un tipo diferente e incompatible. Esto resulta en un acceso a la memoria fuera de los límites.
Al acceder a regiones de la memoria que no deberían ser accesibles desde el contexto de la aplicación, un atacante podría leer información confidencial de otras aplicaciones, provocar bloqueos o ejecutar código arbitrario.
Google no aclara el nivel de actividad que involucra el exploit que existe en la naturaleza, por lo que en este momento no se sabe si los ataques que usan CVE-2022-3723 están generalizados o limitados.
Los usuarios de Chrome pueden actualizar su navegador abriendo Configuración → Información de Chrome → Esperar a que finalice la descarga → Reiniciar el programa.
Séptimo día cero de Chrome arreglado este año
CVE-2022-3723 es la tercera vulnerabilidad de confusión de tipo explotada activamente en V8 este año después de CVE-2022-1096 y CVE-2022-1364.
Además, la versión 107.0.5304.87/88 corrige la séptima vulnerabilidad de día cero solucionada desde principios de año.
Las seis anteriores son:
- CVE-2022-3075 – 2 de septiembre
- CVE-2022-2856 – 17 de agosto
- CVE-2022-2294 – 4 de julio
- CVE-2022-1364 – 14 de abril
- CVE-2022-1096 – 25 de marzo
- CVE-2022-0609 – 14 de febrero
En algunos casos, como CVE-2022-0609, las vulnerabilidades fueron explotadas por ciberdelincuentes patrocinados por estados durante varias semanas antes de que Google las descubriera y las solucionara.