Nivel de peligrosidad: CRÍTICO.
Google Chrome, popular software de navegación web, ha lanzado una actualización de la versión estable de Google Chrome para Windows, Mac y Linux. El aviso publicado por la compañía incluye 11 correcciones de seguridad que solucionan múltiples vulnerabilidades entre las que destaca la ejecución remota de código en el sistema de destino. Estos fallos fueron reportados a la compañía por distintos investigadores e ingenieros de seguridad, entre los que destacan los analistas Sergei Glazunov, Cassidy Kim, Ashley Shen y Christian Resell.
A continuación, se detallan 5 vulnerabilidades reportadas en el aviso y catalogadas por el fabricante con una severidad alta, así como también se incluye la corrección de un 0-day rastreada como CVE-2022-2856 y una vulnerabilidad rastreada como CVE-2022-2852 catalogada como crítica. No obstante, como es habitual siguiendo la política de seguridad de Google, no se han dado muchos detalles sobre los fallos reportados para evitar su explotación, por lo que las especificaciones técnicas pueden mantenerse restringidas hasta que la mayoría de los usuarios actualicen sus navegadores.
|
CVE |
Descripción |
|
CVE-2022-2852 |
Vulnerabilidad que existe debido a un error use-after-free en el componente FedCM en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, persuadir a la víctima para que la visite, desencadenar el error de este tipo y ejecutar código en el sistema de destino. La explotación exitosa de la vulnerabilidad puede permitir a un atacante comprometer el sistema vulnerable. |
|
CVE-2022-2854 |
Vulnerabilidad que existe debido a un error use-after-free en el componente SwiftShader en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, persuadir a la víctima para que la visite, desencadenar el error de este tipo y ejecutar código en el sistema de destino. La explotación exitosa de la vulnerabilidad puede permitir a un atacante comprometer el sistema vulnerable. |
|
CVE-2022-2855 |
Vulnerabilidad que existe debido a un error use-after-free en el componente ANGLE en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, persuadir a la víctima para que la visite, desencadenar el error de este tipo y ejecutar código en el sistema de destino. La explotación exitosa de la vulnerabilidad puede permitir a un atacante comprometer el sistema vulnerable. |
|
CVE-2022-2857 |
Vulnerabilidad que existe debido a un error use-after-free en el componente Blink en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, persuadir a la víctima para que la visite, desencadenar un error de este tipo y ejecutar código en el sistema de destino. La explotación exitosa de la vulnerabilidad puede permitir a un atacante comprometer el sistema vulnerable. |
|
CVE-2022-2858 |
Vulnerabilidad que existe debido a un error use-after-free en el componente Sign-In Flow en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, persuadir a la víctima para que la visite, desencadenar un error de este tipo y ejecutar código en el sistema de destino. La explotación exitosa de la vulnerabilidad puede permitir a un atacante comprometer el sistema vulnerable. |
|
CVE-2022-2853 |
Vulnerabilidad que existe debido a un boundary error al procesar contenido HTML no fiable en las descargas. Un atacante remoto puede crear una página web especialmente diseñada, persuadir a la víctima para que la visite, desencadenar un buffer overflow y ejecutar código en el sistema de destino. |
|
CVE-2022-2856 |
Vulnerabilidad que existe debido a una validación de entrada inadecuada por parte de un usuario en el componente Intents de Google Chrome. Un atacante remoto puede engañar a la víctima para que abra una página web especialmente diseñada y ejecute código arbitrario en el sistema de destino. La explotación exitosa de esta vulnerabilidad puede resultar en el compromiso completo del sistema vulnerable. Google avisa de que existe un exploit para explotar esta vulnerabilidad aunque no ha sido posible localizarlo. |
La base de datos del NIST por el momento no ha registrado estas vulnerabilidades, por lo tanto, no se les ha asignado puntuación de acuerdo a la escala CVSSv3. Sin embargo, la vulnerabilidad rastreada como CVE-2022-2852 ha sido catalogada por Google como crítica y 6 de las vulnerabilidades corregidas han sido catalogadas como altas, siendo el resto de vulnerabilidades calificadas con una severidad media. Actualmente, Google advierte de que existe un exploit para el CVE-2022-2856, no obstante, para el resto de vulnerabilidades no se tiene conocimiento de reportes sobre actividad dañina en la red ni de la disponibilidad de exploits que aprovechen estos errores, así como tampoco, se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados.
Recursos afectados:
- Google Chrome. Versiones Google Chrome: 70.0.3538.67 - 104.0.5112.81
Solución a las vulnerabilidades:
Se ha actualizado a las versiones 104.0.5112.101 para el SO Mac, Linux y Windows, disponibles en el siguiente enlace: https://www.google.com/intl/es_es/chrome/
Para facilitar la instalación, se recomienda seguir las instrucciones ofrecidas por el fabricante.
Recomendaciones:
El servicio de Cyberthreats de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad publicados por el fabricante, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.
Por el momento, se desconocen medidas de mitigación alternativas a las propias actualizaciones lanzadas por Google para solucionar estas vulnerabilidades.
Referencias:
