El gigante de las búsquedas Google lanzó el viernes una actualización de seguridad fuera de banda para corregir una nueva falla de día cero explotada activamente en su navegador web Chrome.
La falla de alta gravedad, rastreada como CVE-2022-4262 , se refiere a un error de confusión de tipos en el motor JavaScript V8. A Clement Lecigne, del Threat Analysis Group (TAG) de Google, se le atribuye el informe del problema el 29 de noviembre de 2022.
Las vulnerabilidades de confusión de tipos podrían ser armadas por los actores de amenazas para realizar un acceso a la memoria fuera de los límites o provocar un bloqueo y la ejecución de código arbitrario.
Según la base de datos nacional de vulnerabilidades del NIST, la falla permite que un «atacante remoto aproveche potencialmente la corrupción del montón a través de una página HTML manipulada».
Google reconoció la explotación activa de la vulnerabilidad, pero no llegó a compartir detalles adicionales para evitar más abusos.
CVE-2022-4262 es la cuarta falla de confusión de tipo explotada activamente en Chrome que Google ha abordado desde principios de año. También es la novena falla de día cero que los atacantes han explotado en la naturaleza en 2022:
- CVE-2022-0609 – Use-after-free en Animación
- CVE-2022-1096 – Confusión de tipo en V8
- CVE-2022-1364 – Confusión de tipos en V8
- CVE-2022-2294 : desbordamiento del búfer de almacenamiento dinámico en WebRTC
- CVE-2022-2856 : Validación insuficiente de entrada no confiable en Intents
- CVE-2022-3075 – Validación de datos insuficiente en Mojo
- CVE-2022-3723 – Confusión de tipos en V8
- CVE-2022-4135 : desbordamiento de búfer de montón en GPU
Se recomienda a los usuarios actualizar a la versión 108.0.5359.94 para macOS y Linux y 108.0.5359.94/.95 para Windows para mitigar posibles amenazas.
También se recomienda a los usuarios de navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las correcciones a medida que estén disponibles.
Fuente y redacción: thehackernews.com