Hace poco menos de dos semanas, Google se apresuró a publicar un parche de Chrome para la versión 107, entonces vigente, con el fin de solucionar un fallo que ya se estaba utilizando en ataques reales.
La empresa simplemente describió ese fallo como un “desbordamiento del búfer en la GPU” e informar que ya se estaba utilizando en ataques reales.
Google dejó sin respuesta las siguientes preguntas:
- ¿Cómo podría desencadenarse el fallo? ¿Bastaba con ver una página web maliciosa?
- ¿Podría utilizarse para la ejecución remota de código? ¿Es posible que los delincuentes puedan instalar malware sin ninguna advertencia visible?
- ¿Quién lo estaba utilizando? ¿Eran atacantes patrocinados por algún estado u otro tipo de ciberdelincuentes?
- ¿Qué buscaban? ¿Se dedicaban al robo de datos, a los ataques de ransomware, a la vigilancia ilegal o a todas esas cosas?
Para ser claros, muchos, si no la mayoría, de los fallos de memoria nunca acaban convirtiéndose en ataques de ejecución remota de código (RCE).
Aunque un desbordamiento del búfer a menudo hace que sea fácil bloquear un programa, lo que provoca que deje de responder, no siempre es fácil averiguar cómo desencadenar el error con la precisión suficiente para tomar el control de la propia aplicación.
A menudo, el mal comportamiento provocado por el fallo será detectado como algún tipo de violación de acceso por el sistema operativo, que acabará con el programa antes de que pueda ser engañado para que se vuelva malicioso.
En este caso, por supuesto, el fallo ya estaba siendo explotado activamente, lo que implicaba que se había encontrado un exploit RCE, y que los atacantes sabían cómo hacer algo mucho peor que simplemente bloquear el navegador.
Más actualizaciones de Chrome
Poco después del parche para el desbordamiento de memoria de la GPU, apareció una nueva versión de Chrome, la 108, con nada menos que 28 correcciones de seguridad, incluidos parches para numerosos fallos de gestión de memoria, al menos algunos de los cuales, suponemos, podrían haberse convertido en exploits RCE.
Afortunadamente, ninguno de esos 28 fallos era conocido como “in the wild”, lo que significa que parecen haber sido encontrados y notificados por investigadores de ciberseguridad responsables antes de que cualquier ciberdelincuente o equipo de hackers patrocinado por algún estado los descubriera.
Por desgracia, Google ya ha tenido que publicar una actualización de seguridad de seguimiento para su noveno día cero del año 2022, llevando Chrome a la versión 108.0.5359.94 para Mac y Linux, y a 108.0.5359.94 o 108.0.5359.95 para Windows.
Una vez más, el informe de seguridad es muy escueto, esta vez señalando únicamente que:
- CVE-2022-4262 es la designación oficial de la vulnerabilidad.
- La confusión de tipos en V8 es el origen del fallo.
- Ya existe un exploit y se está abusando de él.
Como hemos explicado antes, V8 es el subsistema JavaScript de Google, responsable de compilar y ejecutar cualquier programa JavaScript incrustado en cualquier página web que visites.
La confusión de tipos en JavaScript se produce cuando un bloque de memoria que se supone que debe utilizarse en un tipo de cálculo es utilizado inadvertidamente por un algoritmo diferente.
Por ejemplo, mezclar un número entero sin signo de 64 bits y un número de coma flotante de 64 bits normalmente desviará tu cálculo terriblemente, porque los diseños internos de los dos formatos numéricos son incompatibles.
Pero tratar, digamos, un entero sin signo de 64 bits que puede contener con seguridad cualquier valor numérico que desees, como una fecha y hora codificadas, como un puntero de memoria que especifica una subrutina de programa que debe llamarse a continuación, podría conducir a una desviación deliberada del flujo de código en el programa.
No sólo obtendrás resultados incorrectos; terminarás con una RCE: un programa local bajo control remoto malicioso porque fue engañado para ejecutar código no confiable que fue enviado desde afuera.
¿Qué hay que hacer?
Aunque hayas comprobado la versión de Chrome en los últimos días, te recomendamos que vuelvas a hacerlo abriendo el menú de tres puntos de Chrome (⋮) y selecciones Ayuda > Información de Google Chrome.
Como se ha mencionado anteriormente, debes tener la versión 108.0.5359.94 para Mac y Linux, y la versión 108.0.5359.94 o 108.0.5359.95 para Windows.
(Para cuando leas esto, puede que haya habido más actualizaciones, así que considera que los números de versión anteriores son los mínimos que necesitas).
Edge, como seguramente sabrás, se basa en Chromium, el núcleo de código abierto del proyecto Chrome de Google, y Chromium también utiliza V8 para gestionar JavaScript.
Microsoft ha confirmado que la última versión de Edge, que es la 108.0.1462.42 en el momento de actualizar este artículo [2022-12-05T21:42Z], incluye un parche para este error.
En Edge, puedes forzar una comprobación de actualización desde el menú de tres puntos y después Ayuda y comentarios > Acerca de Microsoft Edge.
Dejar un comentario