Google lanzó una actualización de seguridad de emergencia para el navegador web de escritorio Chrome para abordar una vulnerabilidad única que se sabe que se aprovecha en los ataques.
La falla de alta gravedad (CVE-2022-3723) es un error de confusión de tipos en el motor Chrome V8 Javascript descubierto e informado a Google por analistas de Avast.
“Google está al tanto de los informes de que existe un exploit para CVE-2022-3723”, destaca el aviso.
La empresa no proporciona muchos detalles sobre la vulnerabilidad por razones de seguridad, lo que permite que la base de usuarios de Chrome tenga tiempo suficiente para actualizar el navegador web a la versión 107.0.5304.87/88, que soluciona el problema.
“El acceso a los detalles de los errores y los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución”, dice Google.
“También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se han solucionado”.
En general, las vulnerabilidades de confusión de tipos ocurren cuando el programa asigna un recurso, objeto o variable usando un tipo y luego accede a él usando un tipo diferente e incompatible, lo que resulta en un acceso a la memoria fuera de los límites.
Al acceder a regiones de la memoria que no deberían ser accesibles desde el contexto de la aplicación, un atacante podría leer información confidencial de otras aplicaciones, provocar bloqueos o ejecutar código arbitrario.
Google no aclara el nivel de actividad que involucra el exploit que existe en la naturaleza, por lo que en este momento no se sabe si los ataques que usan CVE-2022-3723 están generalizados o limitados.
Los usuarios de Chrome pueden actualizar su navegador abriendo Configuración → Acerca de Chrome → Esperar a que finalice la descarga → Reiniciar el programa.
Séptimo día cero de Chrome arreglado este año
La versión 107.0.5304.87/88 corrige la séptima vulnerabilidad de día cero corregida desde principios de año.
Los seis anteriores son:
- CVE-2022-3075 – 2 de septiembre
- CVE-2022-2856 – 17 de agosto
- CVE-2022-2294 – 4 de julio
- CVE-2022-1364 – 14 de abril
- CVE-2022-1096 – 25 de marzo
- CVE-2022-0609 – 14 de febrero
En algunos casos, como CVE-2022-0609, las fallas fueron explotadas por actores de amenazas patrocinados por el estado durante varias semanas antes de que Google las descubriera y las reparara.
Por lo tanto, se recomienda encarecidamente a los usuarios de Chrome que actualicen sus navegadores web lo antes posible para bloquear los intentos de explotación.
