Google Chrome recibe un parche de emergencia por un nuevo 0-day (CVE-2022-4135)

INTRODUCCIÓN

Esta vulnerabilidad se ha descrito como un Heap-based Buffer Overflow en el componente de la GPU. Los atacantes pueden utilizar la vulnerabilidad en cuestión para sobrescribir la memoria de una aplicación y manipular su ruta de ejecución, lo que da lugar a acceso de información o ejecución de código arbitrario. CVSS v3.1: 9.6

ANÁLISIS

Google ha publicado una actualización de seguridad de emergencia para la versión de escritorio del navegador web Chrome, que aborda la octava vulnerabilidad de día cero explotada en ataques este año.

La vulnerabilidad se produce cuando un usuario visita una página web, Chrome descarga la página en forma de «conjunto de archivos de código». El proceso de renderizado de Chrome se encarga de convertir los archivos de código en una página web funcional con la que el usuario puede interactuar.Es entonces cuando
los atacantes pueden sobrescribir la memoria de una aplicación y manipular su ruta de ejecución, lo que da lugar al acceso de información o a la ejecución de código arbitrario.

Versiones afectadas:

• Windows anteriores a la versión 107.0.5304.121
• Mac y Linux anteriores a la versión 107.0.5304.122

RECOMENDACIONES

Se recomienda a los usuarios de Chrome que actualicen a la versión 107.0.5304.121/122 para Windows y 107.0.5304.122 para Mac y Linux, que soluciona el CVE-2022-4135.

Para actualizar Chrome, dirígete a Configuración → Acerca de Chrome → Espera a que termine la descarga de la última versión → Reinicia el programa.

REFERENCIAS

https://unaaldia.hispasec.com/2022/11/google-chrome-vuelve-a-recibir-un-parche-de-emergencia-para-un-nuevo-0-day.html
https://chromereleases.googleblog.com/2022/11/stable-channel-update-for-desktop_24.html
https://www.cronup.com/alerta-de-seguridad-por-nueva-vulnerabilidad-zero-day-para-google-chrome-cve-2022-4135/
https://nvd.nist.gov/vuln/detail/CVE-2022-41