Google parchea una nueva vulnerabilidad de día cero de Chrome explotada activamente
La vulnerabilidad de desbordamiento de búfer del montón (heap buffer overflow) en el motor WebRTC del navegador permite a los atacantes ejecutar código arbitrario.
Mientras la gente celebraba el feriado del 4 de julio en los Estados Unidos, Google lanzó silenciosamente una actualización de canal estable para Chrome. El objetivo de la actualización es parchear una vulnerabilidad de día cero explotada activamente. Esta es la cuarta vulnerabilidad de este tipo que el proveedor ha tenido que parchear en su navegador en lo que va del año
Chrome 103 (103.0.5060.71) para Android y la versión 103.0.5060.114 para Windows y Mac, descritos en publicaciones de blog separadas publicadas el lunes, corrigen una vulnerabilidad de desbordamiento de búfer en WebRTC. WebRTC es el motor que le da al navegador su capacidad de comunicaciones en tiempo real.
La vulnerabilidad fue identificada como CVE-2022-2294 y reportada por Jan Vojtesek del equipo de Avast Threat Intelligence el 1 de julio. Esta vulnerabilidad fue descrita como un desbordamiento de búfer, “donde el búfer que se puede sobrescribir se asigna en la parte del montón de la memoria”. Esto según la lista de vulnerabilidades en el sitio web Common Weakness Enumeration (CWE).
Google no dio mayores detalles
Como de costumbre, Google no reveló detalles específicos sobre la vulnerabilidad. Google generalmente espera hasta que la mayoría haya actualizado a la versión parcheada del producto afectado. De hecho, se recomienda encarecidamente la actualización, ya que los exploits para la vulnerabilidad ya existen en el entorno, según Google.
“El acceso a los detalles de errores y enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución”.
“También mantendremos las restricciones si la vulnerabilidad existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se han solucionado”.
Además, con escasos detalles revelados sobre la vulnerabilidad, un hábito de Google que muchos investigadores de seguridad encuentran frustrante, en este punto, una actualización es realmente la única forma de defenderse contra los ataques que explotan la vulnerabilidad. Afortunadamente, las actualizaciones de Google Chrome se envían sin la intervención del usuario. Esto significa que la mayoría de los usuarios estarán protegidos una vez que los parches estén disponibles.
Los desbordamientos de búfer generalmente provocan bloqueos u otros ataques que hacen que el programa afectado no esté disponible. Esto incluye poner el programa en un bucle infinito, según la lista de CWE. Los atacantes pueden aprovechar la situación utilizando el bloqueo para ejecutar código arbitrario. Este código normalmente está fuera del alcance de la política de seguridad del programa.
“Además de los datos importantes del usuario, los desbordamientos basados en montón se pueden usar para sobrescribir punteros de función que pueden estar viviendo en la memoria, apuntándolos al código del atacante”, según la lista. “Incluso en las aplicaciones que no utilizan explícitamente punteros de función, el tiempo de ejecución suele dejar muchos en la memoria”.
Otras correcciones
Además de corregir la vulnerabilidad de desbordamiento de búfer de día cero, los lanzamientos de Chrome también corrigen una vulnerabilidad de type confusion en el motor de JavaScript V8. Esta vulnerabilidad fue identificada como CVE-2022-2295 y fue reportada el 16 de junio por los investigadores “avaue” y “Buff3tts” en SSL.
Es importante mencionar que esta es la tercera vulnerabilidad de este tipo en el motor de código abierto utilizado por Chrome y los navegadores web basados en Chromium parcheados solo este año. En marzo, un problema separado de type confusion en el motor JavaScript V8 identificada como CVE-2022-1096 y bajo ataque activo provocó un parche apresurado de Google.
Luego, en abril, la compañía parchó CVE-2022-1364. CVE-2022-136 es otra vulnerabilidad de type confusion que afecta el uso de Chrome de V8 en la que los atacantes ya se habían abalanzado.
Otra falla reparada en la actualización de Chrome del lunes es una vulnerabilidad de use-after-free (referencia colgante) en Chrome OS Shell. La vulnerabilidad fue reportada por Khalil Zhani el 19 de mayo y rastreada como CVE-2022-2296, según Google. Todas las vulnerabilidad reparadas en la actualización de esta semana recibieron una calificación alta. Las actualizaciones también incluyen varias correcciones de auditorías internas, fuzzing y otras iniciativas, según Google.
Antes de parchear las vulnerabilidades del motor JavaScript V8 de Chrome en marzo y abril, Google ya había reparado en febrero una vulnerabilidad de referencia colgante de día cero en el componente de animación de Chrome. La vulnerabilidad fue identificada como CVE-2022-0609 y estaba bajo ataque activo.
Debido a que se sabe que el día cero parcheado hoy ha sido utilizado por atacantes en el entorno, debes actuar inmediatamente. Te recomendamos encarecidamente instalar la actualización de Google Chrome de hoy lo antes posible.