Google ha lanzado una actualización de seguridad de emergencia para la versión de escritorio del navegador web Chrome, que aborda la octava vulnerabilidad de día cero explotada en los ataques de este año.
La falla de alta gravedad se rastrea como CVE-2022-4135 y es un desbordamiento del búfer de montón en la GPU, descubierto por Clement Lecigne del Grupo de análisis de amenazas de Google el 22 de noviembre de 2022.
“Google es consciente de que existe un exploit para CVE-2022-4135”, dice el aviso de actualización.
Como los usuarios necesitan tiempo para aplicar la actualización de seguridad en sus instalaciones de Chrome, Google ha ocultado detalles sobre la vulnerabilidad para evitar la expansión de su explotación maliciosa.
“El acceso a los detalles de los errores y los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución. También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero aún no lo han solucionado. ” – Google
En general, el desbordamiento del búfer del montón es una vulnerabilidad de la memoria que provoca que los datos se escriban en ubicaciones prohibidas (generalmente adyacentes) sin verificación.
Los atacantes pueden usar el desbordamiento del búfer del montón para sobrescribir la memoria de una aplicación para manipular su ruta de ejecución, lo que da como resultado un acceso a la información sin restricciones o la ejecución de código arbitrario.
Se recomienda a los usuarios de Chrome que actualicen a la versión 107.0.5304.121/122 para Windows y 107.0.5304.122 para Mac y Linux, que aborda CVE-2022-4135.
Para actualizar Chrome, dirígete a Configuración → Acerca de Chrome → Espera a que finalice la descarga de la última versión → Reinicia el programa.
La octava solución de día cero de Chrome en 2022
La versión 107.0.5304.121/122 de Chrome corrige la octava vulnerabilidad de día cero explotada activamente este año, lo que indica el gran interés de los atacantes contra el navegador ampliamente utilizado.
Las siete correcciones de día cero anteriores son:
- CVE-2022-3723 – 28 de octubre
- CVE-2022-3075 – 2 de septiembre
- CVE-2022-2856 – 17 de agosto
- CVE-2022-2294 – 4 de julio
- CVE-2022-1364 – 14 de abril
- CVE-2022-1096 – 25 de marzo
- CVE-2022-0609 – 14 de febrero
Estos defectos suelen ser aprovechados por piratas informáticos sofisticados que los utilizan en ataques altamente dirigidos.
No obstante, se recomienda encarecidamente a todos los usuarios de Chrome que actualicen sus navegadores web lo antes posible para bloquear posibles intentos de explotación.