La actualización de emergencia de Google Chrome corrige un día cero y otras vulnerabilidades

ANÁLISIS

El fallo de día cero corregido, indexado como CVE-2022-0609, se describe como un "Use after free in Animation" y se le asignó un nivel de gravedad Alto. Los atacantes suelen aprovechar los errores de "Use after free" para ejecutar código arbitrario en ordenadores que ejecutan versiones de Chrome sin parchear o para salir de la sandbox de seguridad del navegador.

Aunque Google dijo que había detectado ataques que explotaban este día cero, no compartió ninguna información adicional sobre estos incidentes o detalles técnicos sobre la vulnerabilidad.

La vulnerabilidad de día cero fue publicada por Google junto con otras 7 vulnerabilidades, 6 de ellas con una puntuación Alta CVSS:3.1 (>=7.5) [2]. La explotación exitosa de estas vulnerabilidades puede resultar en el compromiso completo del sistema vulnerable.

CVE-2022-0603:La vulnerabilidad existe debido a un error de "Use after free" dentro del componente del Administrador de Archivos en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite, desencadenar el error de uso después de libre y ejecutar código arbitrario en el sistema de destino. Puntuación CVSS:3.1 7.7.

CVE-2022-0604:La vulnerabilidad existe debido a un error de frontera al procesar contenido HTML no fiable en los grupos de pestañas. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la abra, desencadenar un desbordamiento del búfer basado en la pila y ejecutar código arbitrario en el sistema de destino. Puntuación CVSS:3.1 7.7.

CVE-2022-0605:La vulnerabilidad existe debido a un error de "Use after free" dentro del componente Webstore API en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite, desencadenar el error error de "Use after free" y ejecutar código arbitrario en el sistema de destino. Puntuación CVSS:3.1 7.7.

CVE-2022-0606: La vulnerabilidad existe debido a un error de "Use after free" dentro del componente ANGLE en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite, desencadenar el error de "Use after free" y ejecutar código arbitrario en el sistema de destino. Puntuación CVSS:3.1 7.7.

CVE-2022-0607: La vulnerabilidad existe debido a un error de uso después de libre dentro del componente GPU en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite, desencadenar el error de "Use after free" y ejecutar código arbitrario en el sistema de destino. Puntuación CVSS:3.1 7.7.

CVE-2022-0608: La vulnerabilidad permite a un atacante remoto ejecutar código arbitrario en el sistema de destino. La vulnerabilidad existe debido a un desbordamiento de enteros en el componente Mojo de Google Chrome. Un atacante remoto puede engañar a la víctima para que abra una página web especialmente diseñada, desencadenar un desbordamiento de enteros y ejecutar código arbitrario en el sistema de destino. Puntuación CVSS:3.1 7.7.

CVE-2022-0609: La vulnerabilidad existe debido a un error de uso después de libre dentro del componente de Animación en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite, desencadenar el error de "Use after free" y ejecutar código arbitrario en el sistema de destino. La vulnerabilidad está siendo explotada activamente. Puntuación CVSS:3.1 8.4.

RECOMENDACIONES

Google afirma que la actualización de Chrome se desplegará en las próximas semanas. Sin embargo, se recomienda instalar la actualización de inmediato simplemente entrando en el menú de Chrome > Ayuda > Acerca de Google Chrome.

REFERENCIAS

[1] Google Chrome emergency update fixes zero-day exploited in attacks (bleepingcomputer.com) 
[2] Multiple vulnerabilities in Google Chrome (cybersecurity-help.cz)