Introducción
Google publicó el viernes una actualización seguridad para abordar una vulnerabilidad de alta gravedad en el navegador Chrome que, según se indicó, se está explotando activamente.
Análisis
Rastreada como CVE-2022-1096 , la falla de día cero se relaciona con una vulnerabilidad de confusión de tipos en el motor JavaScript V8.
Los errores de confusión de tipos, que surgen cuando se accede a un recurso (p. ej., una variable o un objeto) utilizando un tipo que es incompatible con el que se inicializó originalmente, esto podría tener graves consecuencias en lenguajes que no son seguros para la memoria como C y C++, lo que permite un uso malicioso.
«Cuando se accede a un búfer de memoria utilizando el tipo incorrecto, este podría leer o escribir fuera de los límites del búfer de memoria. Si el búfer asignado es más pequeño que el tipo al que intenta acceder el código, provocaría un bloqueo y posiblemente el código ejecución», explica el Common Weakness Enumeration (CWE) de MITRE .
El gigante tecnológico reconoció que es «consciente de que existe un exploit para CVE-2022-1096″, el cual no llegó a compartir detalles adicionales para evitar una mayor explotación y hasta que la mayoría de los usuarios se actualicen con una solución.
CVE-2022-1096 es la segunda vulnerabilidad de día cero abordada por Google en Chrome desde principios de año, siendo la primera CVE-2022-0609, una vulnerabilidad de uso posterior en el componente que se parchó el 14 de febrero del 2022.
A principios de esta semana, el Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés) de Google reveló detalles de una campaña gemela organizada por grupos de estados-nación de Corea del Norte que usaron la falla como arma para atacar a organizaciones con sede en EE. UU. que abarcan industrias de medios de comunicación, TI, criptomonedas y tecnología financiera.
Recomendaciones
Se recomienda a los usuarios de Google Chrome que actualicen a la última versión 99.0.4844.84 para Windows, Mac y Linux para eliminar cualquier amenaza potencial.
También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.
Referencias
[1] https://thehackernews.com/2022/03/google-issues-urgent-chrome-update-to.html