Google

Google envió el viernes una actualización de seguridad fuera de banda para abordar una vulnerabilidad de alta gravedad en su navegador Chrome que, según dijo, se está explotando activamente en la naturaleza.

Rastreada como CVE-2022-1096 , la falla de día cero se relaciona con una vulnerabilidad de confusión de tipos en el motor JavaScript V8. A un investigador anónimo se le atribuye haber informado el error el 23 de marzo de 2022.

Los errores de confusión de tipos, que surgen cuando se accede a un recurso (p. ej., una variable o un objeto) utilizando un tipo que es incompatible con el que se inicializó originalmente, podrían tener graves consecuencias en lenguajes que no son seguros para la memoria como C y C++, lo que permite un uso malicioso. actor para realizar un acceso a la memoria fuera de los límites.

«Cuando se accede a un búfer de memoria utilizando el tipo incorrecto, podría leer o escribir memoria fuera de los límites del búfer, si el búfer asignado es más pequeño que el tipo al que intenta acceder el código, lo que provoca un bloqueo y posiblemente el código ejecución», explica el Common Weakness Enumeration (CWE) de MITRE .

El gigante tecnológico reconoció que es «consciente de que existe un exploit para CVE-2022-1096», pero no llegó a compartir detalles adicionales para evitar una mayor explotación y hasta que la mayoría de los usuarios se actualicen con una solución.

CVE-2022-1096 es la segunda vulnerabilidad de día cero abordada por Google en Chrome desde principios de año, siendo la primera CVE-2022-0609 , una vulnerabilidad de uso posterior en el componente de animación que se parchó el 14 de febrero. , 2022.

A principios de esta semana, el Grupo de Análisis de Amenazas (TAG, por sus siglas en inglés) de Google reveló detalles de una campaña gemela organizada por grupos de estados-nación de Corea del Norte que usaron la falla como arma para atacar a organizaciones con sede en EE. UU. que abarcan industrias de medios de comunicación, TI, criptomonedas y tecnología financiera.

Se recomienda encarecidamente a los usuarios de Google Chrome que actualicen a la última versión 99.0.4844.84 para Windows, Mac y Linux para mitigar cualquier amenaza potencial. También se recomienda a los usuarios de navegadores basados ​​en Chromium, como Microsoft Edge, Opera y Vivaldi, que apliquen las correcciones cuando estén disponibles.

Fuente y redacción: thehackernews.com

Compartir