Google Chrome recibe actualización de emergencia debido a un 0-day (CVE-2022-3723)

INTRODUCCIÓN

Google Chrome recibe actualización de emergencia debido a un 0-day que mitiga un problema de confusión de tipos en el motor JavaScript V8 (CVE-2022-3723).

ANÁLISIS

Google lanzó el jueves un parche de emergencia con el propósito de aislar un fallo de seguridad de día cero trás las primeras incidencias debida a la explotación del mismo en su navegador web Chrome.

CVE-2022-3723 es un problema de confusión de tipos en el motor JavaScript V8. Este tipo de vulnerabilidad ocurre cuando un programa asigna o inicializa un recurso (un puntero, objeto, o variables) usando un tipo pero accede al recurso a través de un tipo incompatible con el tipo original.

Es el tercero de este tipo de fallos explotado activamente en el motor V8 este año.

Por motivos de seguridad, Google sólo revelará todos los detalles de la vulnerabilidad una vez que la mayoría de los usuarios hayan actualizado. Ya que a menudo este tipo de vulnerabilidades pueden utilizarse para ejecutar código arbitrario o escapar de la sandbox de seguridad del navegador.

Versiones afectadas:

• versiones anteriores de Google Chrome 107.0.5304.87 para Mac y Linux
• versiones anteriores de Google Chrome 107.0.5304.87/.88 para Windows.

RECOMENDACIONES

Se recomienda a los usuarios actualizar a la versión 107.0.5304.87 para macOS y Linux y 107.0.5304.87/.88 para Windows para mitigar las posibles amenazas.

También se recomienda a los usuarios de navegadores basados en Chromium, como Microsoft Edge, Brave, Opera y Vivaldi, que apliquen las correcciones a medida que estén disponibles.

REFERENCIAS

https://securityonline.info/cve-2022-3723-google-chrome-0-day-vulnerability/
https://unaaldia.hispasec.com/2022/10/google-chrome-recibe-actualizacion-de-emergencia-debido-a-un-0-day.html
https://thehackernews.com/2022/10/google-issues-urgent-chrome-update-to.html