Ya está disponible la última actualización del navegador Chrome de Google, que eleva el número de la versión actualizada a 104.0.5112.101 (Mac y Linux), y a 104.0.5112.102 (Windows).
Según Google, la actualización incluye 11 correcciones de seguridad, una de las cuales especifica que “existe un exploit [para esta vulnerabilidad] que está siendo explotado activamente”, lo que la convierte en una vulnerabilidad de día cero.
El nombre de día cero es un recordatorio que hubo cero días en los que incluso el usuario o administrador de sistemas más informado y proactivo podría haber parcheado antes que los malos atacaran.
Detalles de la actualización
Los detalles sobre las actualizaciones son escasos, dado que Google, al igual que muchos otros proveedores en la actualidad, restringe el acceso a los detalles de los errores “hasta que la mayoría de los usuarios se actualicen”.
Pero el boletín de publicación de Google enumera explícitamente 10 de los 11 fallos, como sigue:
- CVE-2022-2852: use-after-free en FedCM.
- CVE-2022-2854: use-after-free en SwiftShader.
- CVE-2022-2855: use-after-free en ANGLE.
- CVE-2022-2857: use-after-free en Blink.
- CVE-2022-2858: use-after-free en Sign-In Flow.
- CVE-2022-2853: desbordamiento del buffer Heap en Downloads.
- CVE-2022-2856: validación insuficiente de entradas no confiables en Intents. (Día cero).
- CVE-2022-2859: use-after-free en Chrome OS Shell.
- CVE-2022-2860: aplicación insuficiente de políticas en Cookies.
- CVE-2022-2861: implementación inadecuada en la API de extensiones.
Como puedes ver, siete de estos fallos fueron causados por una mala gestión de la memoria.
Una vulnerabilidad use-after-free significa que una parte de Chrome devolvió un bloque de memoria que no pensaba utilizar más, para que pudiera ser reasignado para su uso en otra parte del software pero sigue usando esa memoria de todos modos, causando así potencialmente que una parte de Chrome dependa de datos en los que pensaba que podía confiar, sin darse cuenta de que otra parte del software podría seguir manipulando esos datos.
A menudo, este tipo de bugs hacen que el software se bloquee por completo, al estropear los cálculos o el acceso a la memoria de forma irrecuperable.
A veces, sin embargo, los bugs de use-after-free pueden ser activados deliberadamente con el fin de desviar el software para que se comporte mal (por ejemplo, saltándose una comprobación de seguridad, o confiando en el bloque de datos de entrada equivocado) y provoque un comportamiento no autorizado.
Un desbordamiento del búfer de la pila significa pedir un bloque de memoria, pero escribir más datos de los que caben con seguridad en él.
Esto desborda el búfer oficialmente asignado y sobrescribe los datos en el siguiente bloque de memoria, aunque esa memoria pueda estar ya en uso por alguna otra parte del programa.
Por lo tanto, los desbordamientos de búfer suelen producir efectos secundarios similares a los de los errores de use-after-free: en la mayoría de los casos, el programa vulnerable se bloquea; sin embargo, a veces se puede engañar al programa para que ejecute código no fiable sin previo aviso.
La vulnerabilidad día cero
El fallo de día cero CVE-2022-2856 se presenta sin más detalles que los que se ven arriba: “Validación insuficiente de entradas no confiables en Intents”.
Intents de Chrome es un mecanismo para activar aplicaciones directamente desde una página web, en la que los datos de la página web se introducen en una aplicación externa que se lanza para procesar esos datos.
Google no ha proporcionado ningún detalle sobre qué aplicaciones, o qué tipo de datos, podrían ser manipulados maliciosamente por este fallo pero el peligro parece bastante obvio si el exploit conocido implica alimentar silenciosamente una aplicación local con el tipo de datos maliciosos que, normalmente, se bloquearían por motivos de seguridad.
¿Qué hacer?
Es probable que Chrome se actualice solo, pero siempre recomendamos comprobarlo de todos modos.
En Windows y Mac, utiliza Más > Ayuda > Acerca de Google Chrome > Actualizar Google Chrome.
Hay un boletín de lanzamiento separado para Chrome para iOS, que actualiza a la versión 104.0.5112.99, pero todavía no hay ningún boletín [2022-08-17T12:00Z] que mencione Chrome para Android.
En iOS, comprueba que tus aplicaciones del App Store están actualizadas. (Utiliza la propia aplicación del App Store para hacerlo).
Puedes estar atento a cualquier anuncio de actualización próximo sobre Android en el blog Chrome Releases de Google.
La variante de código abierto Chromium del navegador propietario Chrome también está actualmente en la versión 104.0.5112.101.
Las notas de seguridad de Microsoft Edge, sin embargo, dicen actualmente [2022-08-17T12:00Z]:
16 de agosto de 2022
Microsoft es consciente del reciente exploit que está siendo activamente explotado. Estamos trabajando en la publicación de un parche de seguridad, tal y como ha informado el equipo de Chromium.
Puedes estar atento a una actualización de Edge en la página oficial de Microsoft sobre actualizaciones de seguridad de Edge.
Dejar un comentario