Google ha parcheado una vulnerabilidad de alta gravedad para la versión de escritorio de su navegador Chrome.
La falla, rastreada como CVE-2022-2856, se está explotando activamente en la naturaleza, dice la compañía, por lo que es fundamental que los usuarios corrijan sus puntos finales. (se abre en una pestaña nueva) inmediatamente.
Como es común, Google no quiere decir mucho sobre la falla, hasta que la mayoría de las instancias de Chrome hayan sido parcheadas. Sin embargo, lo que sí dijo es que se trata de un error de validación de entrada inadecuado, descrito más adelante como «validación insuficiente de entrada no confiable en Intents».
Remendar agujeros
La corrección vino como parte de una actualización más grande, cubriendo un total de 11 vulnerabilidades. Además de CVE-2022-2856, Google también corrigió estas fallas:
- CVE-2022-2852 (crítico): Usar después de libre en FedCM
- CVE-2022-2854 (alto): usar después de gratis en SwiftShader
- CVE-2022-2855 (alto): Usar después de libre en ÁNGULO
- CVE-2022-2857 (alto): Usar después de libre en Blink
- CVE-2022-2858 (alto): usar después de gratis en flujo de inicio de sesión.
- CVE-2022-2853 (alto): Desbordamiento de búfer de almacenamiento dinámico en Descargas
- CVE-2022-2859 (medio): Usar después de gratis en Chrome OS Shell
- CVE-2022-2860 (medio): Insuficiente aplicación de políticas en Cookies
- CVE-2022-2861 (medio): Implementación inapropiada en la API de Extensiones
Según un informe de El registro, Google pagó al menos $ 29,000 a los cazarrecompensas que encontraron y divulgaron estas vulnerabilidades. El pago más alto, de $7,000, fue para los investigadores que encontraron CVE-2022-2854 y CVE-2022-2855. El año pasado, la empresa pagó casi 9 millones de dólares por numerosas revelaciones de errores.
Al ser el navegador número uno del mundo, Chrome también es el objetivo más importante, con innumerables actores de amenazas que compiten para encontrar nuevas vulnerabilidades de día cero. Hace menos de dos meses, Google arregló una vulnerabilidad de este tipo para la versión de Windows, que supuestamente estaba siendo explotada en la naturaleza.
El error de alta gravedad, rastreado como CVE-2022-2294, es una debilidad de desbordamiento de búfer basada en montón.
Vía: El Registro (se abre en una pestaña nueva)