La actualización de emergencia de Google Chrome corrige el día cero

Google ha lanzado Chrome 99.0.4844.84 para usuarios de Windows, Mac y Linux para abordar un error de día cero de alta gravedad explotado en la naturaleza.

"Google es consciente de que existe un exploit para CVE-2022-1096", dijo el proveedor del navegador en un  aviso de seguridad  publicado el viernes.

La versión 99.0.4844.84 ya se está implementando en todo el mundo en el canal Stable Desktop, y Google dice que podría ser cuestión de semanas hasta que llegue a toda la base de usuarios.

Esta actualización estuvo disponible de inmediato cuando BleepingComputer buscó nuevas actualizaciones en el menú de Chrome > Ayuda > Acerca de Google Chrome.

El navegador web también buscará automáticamente nuevas actualizaciones y las instalará automáticamente después del próximo lanzamiento.


Detalles de explotación no revelados

El error de día cero solucionado hoy (seguido como  CVE-2022-1096 ) es una debilidad de confusión de tipo de alta gravedad   en el motor de JavaScript Chrome V8 informada por un investigador de seguridad anónimo.

Si bien las fallas de confusión de tipos generalmente provocan fallas en el navegador luego de una explotación exitosa al leer o escribir memoria fuera de los límites del búfer, los atacantes también pueden explotarlas para ejecutar código arbitrario.

Aunque Google dijo que detectó ataques que explotaban este día cero en la naturaleza, la empresa no compartió detalles técnicos ni información adicional sobre estos incidentes.

"El acceso a los detalles de errores y enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución", dijo Google.

"También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se han solucionado".

Los usuarios de Google Chrome deberían tener tiempo suficiente para actualizar Chrome y evitar intentos de explotación hasta que el proveedor del navegador publique más información.

Segundo Chrome día cero parcheado este año

Con esta actualización, Google abordó el segundo día cero de Chrome desde principios de 2022, el otro (registrado como CVE-2022-0609) parcheado el mes pasado.

El Grupo de Análisis de Amenazas de Google (TAG) reveló que los piratas informáticos estatales respaldados por Corea del Norte  explotaron el CVE-2022-0609 de día cero semanas antes del parche de febrero . El primer signo de explotación activa se encontró el 4 de enero de 2022.

El día cero fue explotado por dos grupos de amenazas separados respaldados por el gobierno de Corea del Norte en campañas que impulsan malware a través de correos electrónicos de phishing utilizando señuelos de trabajos falsos y sitios web comprometidos que alojan iframes ocultos para servir un kit de explotación.

"Los correos electrónicos contenían enlaces que falsificaban sitios web legítimos de búsqueda de empleo como Indeed y ZipRecruiter", explicaron los investigadores.

"En otros casos, observamos sitios web falsos, ya configurados para distribuir aplicaciones de criptomonedas troyanizadas, que alojan iframes y dirigen a sus visitantes al kit de explotación".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta