Google ha lanzado Chrome 98.0.4758.102 para Windows, Mac y Linux, para corregir una vulnerabilidad de día cero de alta gravedad utilizada por los actores de amenazas en los ataques.
«Google está al tanto de los informes de que existe un exploit para CVE-2022-0609», dijo Google en un aviso de seguridad publicado ayer.
Google afirma que la actualización de Chrome se implementará en las próximas semanas. Sin embargo, es posible instalar la actualización de inmediato simplemente accediendo al menú de Chrome > Ayuda > Acerca de Google Chrome.
El navegador también buscará automáticamente nuevas actualizaciones y las instalará la próxima vez que cierre y vuelva a iniciar Google Chrome.
Detalles de día cero no revelados
El error de día cero solucionado hoy, rastreado como CVE-2022-0609, se describe como «Usar después de gratis en Animación» y se le asignó un nivel de gravedad Alto.
Esta vulnerabilidad fue descubierta por Clément Lecigne del Grupo de Análisis de Amenazas de Google. Los atacantes suelen explotar el uso después de errores gratuitos para ejecutar código arbitrario en computadoras que ejecutan versiones de Chrome sin parches o escapar de la zona de pruebas de seguridad del navegador.
Si bien Google dijo que detectó ataques que explotan este día cero, no compartió ninguna información adicional sobre estos incidentes o detalles técnicos sobre la vulnerabilidad.
«El acceso a los detalles de los errores y los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución», agregó Google. Además del día cero, esta actualización de Google Chrome solucionó otras siete vulnerabilidades de seguridad, todas menos una clasificadas como de gravedad «alta».
Primer día cero de Chome arreglado este año
Con esta actualización, Google ha abordado el primer día cero de Chrome desde principios de 2022.
Sin embargo, es probable que veamos muchos más divulgados a medida que avanza el año, ya que hubo un total de 16 parches de día cero en 2021:
- CVE-2021-21148 – 4 de febrero
- CVE-2021-21166 – 2 de marzo
- CVE-2021-21193 – 12 de marzo
- CVE-2021-21220 – 13 de abril
- CVE-2021-21224 – 20 de abril
- CVE-2021-30551 – 9 de junio
- CVE-2021-30554 – 17 de junio
- CVE-2021-30563 – 15 de julio
- CVE-2021-30632 y CVE-2021-30633 – 13 de septiembre
- CVE-2021-37973 – 24 de septiembre
- CVE-2021-37976 y CVE-2021-37975 – 30 de septiembre
- CVE-2021-38000 y CVE-2021-38003 – 28 de octubre
- CVE-2021-4102 – 13 de diciembre
Debido a que se sabe que este día cero ha sido utilizado por atacantes salvajes, se recomienda enfáticamente que todos instalen la actualización de Google Chrome de hoy lo antes posible.
