Google lanzó una actualización de seguridad de emergencia para la versión de escritorio del navegador web Chrome para abordar una nueva vulnerabilidad de día cero, rastreada como CVE-2022-4135, que se explota activamente.

La vulnerabilidad CVE-2022-4135 es un problema de desbordamiento del búfer de montón en la GPU. La vulnerabilidad fue reportada por Clement Lecigne del Grupo de Análisis de Amenazas de Google el 22 de noviembre de 2022.

Como de costumbre, Google no compartió detalles técnicos sobre la vulnerabilidad para permitir a los usuarios actualizar sus instalaciones de Chrome.

“Google es consciente de que existe un exploit para CVE-2022-4135 en la naturaleza”. lee el aviso publicado por Google. “El acceso a los detalles de errores y enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución. También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se han solucionado. 

Un atacante puede explotar el desbordamiento del búfer del montón para obtener potencialmente la ejecución de código arbitrario en sistemas que ejecutan versiones vulnerables del navegador.

Google arregló el día cero con el lanzamiento de la versión 107.0.5304.121 para Mac y Linux y 107.0.5304.121/.122 para Windows, que la compañía planea implementar en los próximos días/semanas.

La vulnerabilidad CVE-2022-4135 es el octavo día cero de Chrome explotado activamente y abordado por Google este año, a continuación se muestra la lista de los otros días cero corregidos por el gigante tecnológico:

  • CVE-2022-3723  (28 de octubre): problema de confusión de tipos que reside en el motor Javascript V8
  • CVE-2022-3075  (2 de septiembre): validación de datos insuficiente en la colección Mojo  de bibliotecas de tiempo de ejecución.
  • CVE-2022-2856  (17 de agosto): validación insuficiente de entrada no confiable en Intents
  • CVE-2022-2294  (4 de julio): desbordamiento del búfer de pila en el componente Web Real-Time Communications (WebRTC)
  • CVE-2022-1364  (14 de abril): problema de confusión de tipos que reside en el motor JavaScript V8
  • CVE-2022-1096  – (25 de marzo) – escriba Confusión en el motor de JavaScript V8
  • CVE-2022-0609  – (14 de febrero): uso después de la edición gratuita que reside en el componente Animación.

Se recomienda a los usuarios de Chrome que actualicen sus instalaciones lo antes posible para neutralizar los ataques que intentan aprovechar el día cero.

fuente:securityaffairs