Google ha lanzado una actualización de seguridad de emergencia para la versión de escritorio del navegador web Chrome para evitar que los cibercriminales se aprovechen de una nueva vulnerabilidad zero-day, asociada al CVE CVE-2022-4135.
Como es costumbre, ante este tipo de incidentes se recomienda a los usuarios de Chrome que actualicen a la versión 107.0.5304.121/122 para Windows y 107.0.5304.122 para Mac y Linux, que soluciona el CVE-2022-4135.
Los atacantes pueden utilizar la vulnerabilidad en cuestión para sobrescribir la memoria de una aplicación y manipular su ruta de ejecución, lo que da lugar a acceso de información o ejecución de código arbitrario, funciona de la siguiente manera:
Cuando un usuario visita una página web, Chrome descarga la página en forma de «conjunto de archivos de código». El proceso de renderizado de Chrome se encarga de convertir los archivos de código en una página web funcional con la que el usuario puede interactuar.
Por parte de la gigante tecnológica compartieron en su blog oficial lo siguiente:
«Somos conscientes de que existe un exploit para CVE-2022-4135 en la red, los detalles del fallo se mantendrán restringidos hasta que la mayoría de los usuarios actualicen a la nueva versión del navegador, también mantendremos las restricciones si el fallo se encuentra en una biblioteca de terceros de la que dependen otros proyectos de forma similar, pero que aún no se ha corregido.»
Declaraciones de Google
Lo realmente preocupante es que la versión 107.0.5304.121/122 de Chrome corrige la octava vulnerabilidad zero-day explotada este año, lo cual muestra el gran interés que despierta el popular navegador entre los ciberatacantes.
Los anteriores zero-days reportados este año fueron:
Más información:
- https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_24.html
- https://www.bleepingcomputer.com/news/security/google-pushes-emergency-chrome-update-to-fix-8th-zero-day-in-2022/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-4135
- https://siliconangle.com/2022/11/25/google-releases-patch-zero-day-chrome-vulnerability/