Clicky

Actualiza Chrome cuanto antes para abordar una vulnerabilidad de alta gravedad

Actualizar Chrome

Se relaciona con una falla de desbordamiento de la pila en el componente WebRTC

Google lanzó el lunes actualizaciones de seguridad para abordar una vulnerabilidad de día cero de alta gravedad en su navegador web Chrome que, según dijo, se está explotando en la naturaleza.

La deficiencia, rastreada como CVE-2022-2294, se relaciona con una falla de desbordamiento de la pila en el componente WebRTC que brinda capacidades de comunicación de audio y vídeo en tiempo real en los navegadores sin la necesidad de instalar plugins o descargar aplicaciones nativas.

Los desbordamientos de búfer de almacenamiento dinámico, también denominados desbordamiento de almacenamiento dinámico o destrucción de almacenamiento dinámico, se producen cuando los datos se sobrescriben en el área de almacenamiento dinámico de la memoria, lo que provoca la ejecución de código arbitrario o una condición de denegación de servicio (DoS).

"Los desbordamientos basados en la pila se pueden usar para sobrescribir punteros de función que pueden estar viviendo en la memoria, apuntándolos al código del atacante", explica MITRE. "Cuando la consecuencia es la ejecución de código arbitrario, esto a menudo se puede usar para subvertir cualquier otro servicio de seguridad".

Jan Vojtesek, del equipo de Avast Threat Intelligence, tiene el crédito de haber descubierto e informado la falla el 1 de julio de 2022. Vale la pena señalar que el error también afecta la versión de Android de Chrome.

Como suele ser el caso con la explotación de día cero, se han retenido los detalles relacionados con la falla y otros detalles específicos relacionados con la campaña para evitar más abusos en la naturaleza y hasta que una parte significativa de los usuarios se actualicen con una solución.

CVE-2022-2294 también marca la resolución de la cuarta vulnerabilidad de día cero en Chrome desde principios de año:

CVE-2022-0609 - Use-after-free en Animación
CVE-2022-1096 - Confusión de tipo en V8
CVE-2022-1364 - Confusión de tipos en V8

actualizar Chrome, ayuda

actualizar Chrome, reiniciar

Se recomienda a los usuarios actualizar a la versión 103.0.5060.114 para Windows, macOS y Linux y 103.0.5060.71 para Android para mitigar posibles amenazas. También se recomienda a los usuarios de navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las correcciones a medida que estén disponibles.

Jesus_Caceres