Google lanzó hace poco una actualización de seguridad para Google Chrome en Windows, Mac y Linux para corregir una serie de errores. En su total fueron diez vulnerabilidades de seguridad, muchas de las cuales permitían que atacantes remotos bloquearan sistemas vulnerables.
El gigante tecnológico detalló algunas de las correcciones en una actualización de lanzamiento de Google Chrome. En la actualidad, la compañía mantiene ocultos todos los detalles sobre muchos de los problemas hasta que la mayoría de los usuarios hayan aplicado las actualizaciones. Se espera que se implementen en los próximos días y semanas.
¿Por qué Google pide actualizar Chrome?
Recordemos que Google pide actualizar Chrome porque corrigió 10 actualizaciones de seguridad. La actualización también está disponibles para Google Chrome en dispositivos móviles. Sabemos que seis de las actualizaciones han sido clasificadas como de «gravedad alta». Ello quiere decir que las actualizaciones deben aplicarse lo antes posible.
Cabe señalar que estas vulnerabilidades podrían facilitarle a un atacante remoto explotar la «corrupción del montón» a través de una página HTML manipulada. ¿A qué se refiere cuando se habla del “montón”? Digamos que es un área de la memoria de la computadora que un programa puede usar para almacenar una cantidad diversa de datos. Ya sabiendo esto, podemos contarte que la corrupción del montón ocurre cuando un programa daña la vista del montón. Esto puede provocar una falla de memoria y causar un bloqueo.
Detalles de otras vulnerabilidades
- Por otro lado, CVE-2022-3885 se trata de una vulnerabilidad en V8. Esto cubre el motor JavaScript de código abierto desarrollado por Chromium Project para Google Chrome y los navegadores web Chromium. Dicha falla podría causar corrupción de calor. En cambio, Pero CVE-2022-3886 es un error en Speech Recognition en Google Chrome y pueden ser explotados con el mismo propósito.
- Cabe señalar que CVE-2022-3887 es una vulnerabilidad en Web Workers y se utiliza en Google Chrome para ejecutar scripts en segundo plano sin interferir con la interfaz de usuario.
- CVE-2022-3888 es una vulnerabilidad en WebCodecs en Google Chrome, que se utiliza para proporcionar acceso de bajo nivel a codificadores y decodificadores de medios.
- En cambio, CVE-2022-3889 es una vulnerabilidad de confusión de tipos en V8. Y le proporciona al programa un código incorrecto.
- La última de las vulnerabilidades que se ha enumerado públicamente ha sido CVE-2022-3890. Este es un desbordamiento de búfer de montón en Crashpad en Google Chrome y Android. Dicha vulnerabilidad podría permitirle a un atacante remoto realizar un escape de sandbox. Y sí, esto le permitirá escalar privilegios en un entorno de acogida.
Google también les hizo un agradecimiento a los investigadores. Debido a que estos ayudaron a actualizar Google Chrome para corregir dichos errores:
«También nos gustaría agradecer a todos los investigadores de seguridad que trabajaron con nosotros durante el ciclo de desarrollo para evitar que los errores de seguridad lleguen al canal estable».
Les recomendamos aplicar el parche de seguridad de Google Chrome para 107.0.5304.110 para Mac y Linux y 107.0.5304.106/.107 para Windows cuando esté disponible. Hacer esto les protegerá a sus dispositivos de cualquier ataque.
