Google ha lanzado Chrome 105.0.5195.102 para usuarios de Windows, Mac y Linux para abordar una única falla de seguridad de alta gravedad, el sexto día cero de Chrome explotado en ataques parcheados este año.
"Google está al tanto de los informes de que existe un exploit para CVE-2022-3075", dijo la compañía en un aviso de seguridad publicado el viernes.
Esta nueva versión se está implementando en el canal Stable Desktop, y Google dice que llegará a toda la base de usuarios en cuestión de días o semanas.
Estuvo disponible de inmediato cuando BleepingComputer buscó nuevas actualizaciones en el menú de Chrome > Ayuda > Acerca de Google Chrome.
El navegador web también buscará automáticamente nuevas actualizaciones y las instalará automáticamente después del próximo lanzamiento.
No hay detalles de explotación disponibles
El error de día cero solucionado hoy ( CVE-2022-3075 ) es una vulnerabilidad de alta gravedad causada por una validación de datos insuficiente en Mojo , una colección de bibliotecas de tiempo de ejecución que facilita el paso de mensajes a través de límites arbitrarios entre procesos y dentro de ellos.
Google dice que este problema de seguridad fue encontrado por un investigador de seguridad que optó por informarlo de forma anónima.
Aunque el proveedor del navegador dice que el día cero se explotó en la naturaleza, aún no ha compartido detalles técnicos o información sobre estos incidentes.
"El acceso a los detalles de los errores y los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución", agregó Google.
"También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se han solucionado".
Al retrasar la publicación de más información sobre estos ataques, es probable que Google tenga como objetivo brindar a los usuarios de Chrome suficiente tiempo para actualizar y evitar intentos de explotación hasta que más actores de amenazas creen sus propias vulnerabilidades para implementar en los ataques.
Sexto día cero de Chrome arreglado en 2022
Con este lanzamiento, Google ha emitido actualizaciones de seguridad para abordar el sexto parche de día cero de Chrome desde principios de año.
Las cinco vulnerabilidades de día cero anteriores encontradas y parcheadas en 2022 son:
- CVE-2022-2856 - 17 de agosto
- CVE-2022-2294 - 4 de julio
- CVE-2022-1364 - 14 de abril
- CVE-2022-1096 - 25 de marzo
- CVE-2022-0609 - 14 de febrero
Como reveló Google Threat Analysis Group (TAG) en febrero, CVE-2022-0609 fue explotado por piratas informáticos estatales respaldados por Corea del Norte semanas antes del parche de febrero . Además, los primeros signos de explotación se encontraron a principios de enero.
Se abusó del error en campañas que impulsan malware a través de correos electrónicos de phishing utilizando señuelos de trabajos falsos y sitios web comprometidos que alojan iframes ocultos que sirven kits de explotación.
Dado que también se sabe que el error de día cero parcheado hoy ha sido explotado por atacantes en la naturaleza, se recomienda encarecidamente actualizar el navegador web Google Chrome lo antes posible.
Fuente: https://www.bleepingcomputer.com/
0 Comentarios