Google ha lanzado una actualización de seguridad para el navegador Chrome que aborda cerca de una docena de vulnerabilidades, incluida una vulnerabilidad de día cero que se está explotando en la naturaleza.
La actualización de seguridad se está implementando actualmente para Windows, Mac y Linux. Los usuarios que tengan activadas las actualizaciones automáticas deberían recibirlas en los próximos días/semanas.
Pocos detalles sobre el día cero
Google no suele proporcionar muchos detalles técnicos sobre las vulnerabilidades de día cero que solucionan hasta que una gran cantidad de usuarios de Chrome han aplicado la actualización de seguridad.
El más reciente se rastrea como CVE-2022-2856 y se describe como una vulnerabilidad de seguridad de alta gravedad debido a la “validación insuficiente de entradas no confiables en Intents”, una función que permite iniciar aplicaciones y servicios web directamente desde una página web.
La mala validación de entrada en el software puede servir como una vía para anular las protecciones o exceder el alcance de la funcionalidad prevista, lo que puede provocar un desbordamiento del búfer, recorrido de directorios, inyección de SQL, secuencias de comandos entre sitios, inyección de bytes nulos y más.
La vulnerabilidad fue descubierta e informada por Ashley Shen y Christian Resell, ambos miembros del Grupo de Análisis de Amenazas (TAG) de Google.
“Google es consciente de que existe un exploit para CVE-2022-2856”, explica el gigante de Internet en el aviso de seguridad publicado ayer.
Quinto día cero parcheado en 2022
La actualización actual de Chrome aborda la quinta vulnerabilidad de día cero en Google Chrome este año que los actores de amenazas explotan activamente:
Los cuatro anteriores fueron:
- CVE-2022-2294 – 4 de julio
- CVE-2022-1364 – 14 de abril
- CVE-2022-1096 – 25 de marzo
- CVE-2022-0609 – 14 de febrero (explotado por piratas informáticos de Corea del Norte en campañas de phishing)
Para realizar la actualización ahora, diríjase a la configuración del navegador, seleccione “Acerca de Chrome” y deje que el verificador interno del navegador busque actualizaciones disponibles. Una vez completada la descarga, reinicie el programa para aplicar la actualización de seguridad.
Debido a que la última actualización de Google Chrome corrige una vulnerabilidad ya explotada por los actores de amenazas, se recomienda cambiar a la última versión del navegador lo antes posible.
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.