Google envió este viernes una actualización de seguridad fuera de banda para abordar una vulnerabilidad de alta gravedad en el navegador web Chrome, que según la compañía, se está explotando activamente en la naturaleza.
Rastreada como CVE-2022-1096, la vulnerabilidad de día cero se relaciona con una falla de confusión de tipos en el motor JavaScript V8. Se le atribuyó el crédito a un investigador anónimo por informar sobre el error el 23 de marzo de 2022.
Los errores de confusión de tipos, que surgen cuando se accede a un recurso, como una variable o un objeto, utilizando un tipo que es incompatible con el que se inicializó originalmente, podrían tener graves consecuencias en lenguajes que no son seguros para la memoria, tales como C y C++, lo que permite el uso malicioso a un atacante para realizar acceso a la memoria fuera de los límites.
«Cuando se accede a un búfer de memoria utilizando el tipo incorrecto, podría leer o escribir memoria fuera de los límites del búfer, si el búfer asignado es más pequeño que el tipo al que intenta acceder el código, lo que provoca un bloqueo y posiblemente la ejecución de código», explicó el Common Weakness Enumeration (CWE) de MITRE.
Google reconoció que es «consciente de que existe un exploit para CVE-2022-1096», pero no llegó a compartir los detalles adicionales para evitar una mayor explotación y hasta que la mayoría de los usuarios se actualicen con una solución.
CVE-2022-1096 es la segunda vulnerabilidad de día cero abordada por Google en Chrome desde inicios del año, la primera, CVE-2022-0609, es una vulnerabilidad de uso posterior en el componente de animación que fue parcheada el 14 de febrero de 2022.
A inicios de la semana pasada, el Grupo de Análisis de Amenazas (TAG) de Google, reveló los detalles de una campaña gemela organizada por grupos de estados-nación de Corea del Norte, que utilizaron la vulnerabilidad como arma para atacar a organizaciones con sede en Estados Unidos que abarcan industrias de medios de comunicación, TI, criptomonedas y tecnología financiera.
Se recomienda a los usuarios de Google Chrome que actualicen el navegador web a la última versión, 99.0.4844.84 para Windows, Mac y Linux, con el fin de mitigar cualquier amenaza potencial.
