Google lanzó una actualización de emergencia para corregir una vulnerabilidad crítica

Google lanzó Chrome 99.0.4844.84 para usuarios de Windows, Mac y Linux para abordar una vulnerabilidad de día cero de alta gravedad explotada en el entorno. 

“Google está consciente de que existe un exploit para CVE-2022-1096″, dijo el proveedor del navegador en un  aviso de seguridad  publicado el viernes.

La versión 99.0.4844.84 ya se está implementando en todo el mundo en el canal Stable Desktop, y Google dice que podría ser cuestión de semanas hasta que llegue a toda la base de usuarios.

Esta actualización está disponible desde el día del anuncio. Puedes buscarla tú mismo accediendo a las nuevas actualizaciones en el menú de Chrome > Ayuda > Acerca de Google Chrome.

El navegador web también buscará automáticamente nuevas actualizaciones y las instalará automáticamente después  la próxima vez que lo abras. 

Detalles de explotación no revelados

La vulnerabilidad de día cero solucionada con esta actualización (identificada como  CVE-2022-1096 ) es una debilidad de type confusion de alta gravedad   en el motor de JavaScript Chrome V8. Esta fue reportada por un investigador de seguridad anónimo.

Type confusion es un tipo de vulnerabilidad que ocurre usualmente cuando un segmento de código no verifica el tipo de objeto al que se pasa y lo utiliza a ciegas sin verificar el tipo. También puede permitir que se introduzcan punteros de función o datos erróneos en el fragmento de código equivocado. En algunas circunstancias esto puede llevar a la ejecución de código.

Las vulnerabilidades de type confusion generalmente provocan fallas en el navegador luego de una explotación exitosa al leer o escribir memoria fuera de los límites del búfer. Sin embargo, los atacantes también pueden explotarlas para ejecutar código arbitrario.

Aunque Google dijo que detectó ataques que explotaron este día cero en el entorno, la empresa no compartió detalles técnicos. Tampoco compartió ni información adicional sobre estos incidentes.

“El acceso a los detalles de las vulnerabilidades y enlaces se mantendrán restringidos hasta que la mayoría de los usuarios se actualicen con una solución”. 

“También mantendremos las restricciones si la vulnerabilidad existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se han solucionado”.

Google.

Los usuarios de Google Chrome deberían tener tiempo suficiente para actualizar Chrome. Esto servirá para evitar intentos de explotación hasta que el proveedor del navegador publique más información.

Segundo día cero de Chrome parcheado este año

Con esta actualización, Google abordó el segundo día cero de Chrome desde principios de 2022, el otro (identificado como CVE-2022-0609) fue parcheado el mes pasado.

El Grupo de Análisis de Amenazas de Google (TAG) reveló que ciberdelincuentes estatales respaldados por Corea del Norte  explotaron el día cero  CVE-2022-0609 semanas antes del parche de febrero. El primer signo de explotación activa se encontró el 4 de enero de 2022.

El día cero fue explotado por dos grupos de amenazas separados respaldados por el gobierno de Corea del Norte. La vulnerabilidad fue explotada en campañas que distribuían malware a través de correos electrónicos de phishing utilizando señuelos de trabajos falsos y sitios web comprometidos. Estos sitios alojaban iframes ocultos para entregar un kit de explotación.

“Los correos electrónicos contenían enlaces que falsificaban sitios web legítimos de búsqueda de empleo como Indeed y ZipRecruiter”, explicaron los investigadores.

“En otros casos, observamos sitios web falsos – ya configurados para distribuir aplicaciones de criptomonedas troyanizadas – que alojan iframes y dirigen a sus visitantes al kit de explotación”.