¡Actualizar ahora! Los parches de Chrome explotaron activamente la vulnerabilidad de día cero
Al corriente:15 de febrero de 2022por Pieter Arntz
Google ha lanzado una actualización para su navegador Chrome que incluye once correcciones de seguridad, una de las cuales supuestamente ha sido explotada en la naturaleza.
La vulnerabilidad que se informa como explotada en la naturaleza se ha asignado CVE-2022-0609 .
CVE-2022-0609
La vulnerabilidad se describe como una vulnerabilidad Use-after-free (UAF) en el componente Animation. UAF es un tipo de vulnerabilidad que resulta del uso incorrecto de la memoria dinámica durante la operación de un programa. Si, después de liberar una ubicación de memoria, un programa no borra el puntero a esa memoria, un atacante puede usar el error para manipular el programa. Hacer referencia a la memoria después de que se haya liberado puede hacer que un programa se bloquee, use valores inesperados o ejecute código. En este caso, cuando se explota la vulnerabilidad, esto puede provocar la corrupción de datos válidos y la ejecución de código arbitrario en los sistemas afectados.
Como resultado, un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite, desencadenar la vulnerabilidad UAF y ejecutar código arbitrario en el sistema de destino.
Los investigadores que encontraron y reportaron la falla son Adam Weidemann y Clément Lecigne del Threat Analysis Group (TAG) de Google. Como de costumbre, Google no ha entrado en más detalles sobre el error. El acceso a los detalles de errores y enlaces generalmente está restringido hasta que la mayoría de los usuarios se actualizan con una solución.
Otras vulnerabilidades
Otras vulnerabilidades que han sido descubiertas por investigadores externos son;
- CVE-2022-0603: Usar después de gratis en el Administrador de archivos.
- CVE-2022-0604: Desbordamiento de búfer de almacenamiento dinámico en grupos de pestañas.
- CVE-2022-0605: Usar después de gratis en la API de la tienda web.
- CVE-2022-0606: Usar después de libre en ÁNGULO.
- CVE-2022-0607: Usar después de gratis en GPU.
- CVE-2022-0608: Desbordamiento de enteros en Mojo.
- CVE-2022-0610: Implementación inapropiada en Gamepad API.
Cómo protegerse
Si es usuario de Chrome en Windows, Mac o Linux, debe actualizar a la versión 98.0.4758.102 lo antes posible.
La forma más fácil de actualizar Chrome es permitir que se actualice automáticamente, lo que básicamente utiliza el mismo método que se describe a continuación, pero no requiere su atención. Pero puede terminar retrasándose si nunca cierra el navegador o si algo sale mal, como una extensión que le impide actualizar el navegador.
Por lo tanto, no está de más comprobar de vez en cuando. Y ahora sería un buen momento, dada la gravedad de la vulnerabilidad. Mi método preferido es hacer que Chrome abra la página chrome://settings/help que también puede encontrar haciendo clic en Configuración > Acerca de Chrome .
Si hay una actualización disponible, Chrome te lo notificará y comenzará a descargarla. Luego, todo lo que tiene que hacer es reiniciar el navegador para que se complete la actualización.
Chrome está actualizado
Después de la actualización, la versión debería ser 98.0.4758.102. Dado que Animations es un componente de Chromium, los usuarios de otros navegadores basados en Chromium pueden ver una actualización similar.
Fuente: malwarebyte