Nuevo 0-Day en Google Chrome bajo ataque activo

Google lanzó el pasado lunes una nueva versión de su navegador Google Chrome que aplica diversos parches de seguridad que corrigen ocho vulnerabilidades, incluyendo una vulnerabilidad alta que está siendo explotada actualmente de forma activa, siendo la primera vulnerabilidad de día cero (0-day) parcheado por el gigante de Internet en 2022.

Las vulnerabilidades de seguridad (CVE-2022-0603, CVE-2022-0604, CVE-2022-0605, CVE-2022-0606, CVE-2022-0607, CVE-2022-0608, CVE-2022-0609) son de riesgo alto mientras que la vulnerabilidad (CVE-2022-0610) es de riesgo medio.

Google reconoce que está al tanto de los informes que indican que existe un exploit para CVE-2022-0609, que se está utilizando dicha vulnerabilidad en ataques actualmente activos. Adam Weidemann y Clément Lecigne, del Grupo de Análisis de Amenazas (TAG) de Google, son los responsables de descubrir y notificar la vulnerabilidad.

Vulnerabilidades

Actualmente el acceso al detalle de las vulnerabilidades está restringido.

• Vulnerabilidad de nivel alto CVE-2022-0603: Uso después de free en el Administrador de Archivos. Reportado por Chaoyuan Peng (@ret2happy) el 2022-01-22
• Vulnerabilidad de nivel alto CVE-2022-0604: Desbordamiento del buffer Heap en los Grupos de Pestañas. Reportado por Krace el 2021-11-24
• Vulnerabilidad de nivel alto CVE-2022-0605: Uso después de free en la API de la tienda web. Reportado por Thomas Orlita el 2022-01-13
• Vulnerabilidad de nivel alto CVE-2022-0606: Uso después de free en ANGLE. Reportado por Cassidy Kim de Amber Security Lab, OPPO Mobile Telecommunications Corp. Ltd. el 2022-01-17
• Vulnerabilidad de nivel alto CVE-2022-0607: Uso después de free en la GPU. Reportado por 0x74960 el 2021-09-17
• Vulnerabilidad de nivel alto CVE-2022-0608: Desbordamiento de enteros en Mojo. Reportado por Sergei Glazunov de Google Project Zero el 2021-11-16
• Vulnerabilidad de nivel alto CVE-2022-0609: Uso después de free en Animation. Reportado por Adam Weidemann y Clément Lecigne del Grupo de Análisis de Amenazas de Google el 2022-02-10
  Vulnerabilidad de nivel medio CVE-2022-0610: Implementación inapropiada en la API del Gamepad. Reportado por Anonymous el 2022-01-08

Recomendaciones

Google recomienda actualizar a la versión del canal estable 98.0.4758.102 para Windows, Mac y Linux, que se desplegará en los próximos días/semanas. El canal estable ampliado también se ha actualizado a la versión 98.0.4758.102 para Windows y Mac, que se distribuirá en los próximos días/semanas.

La lista completa de cambios en esta versión está disponible en el registro de cambios.

Referencias:

• Google ChroemAdobe notificación: https://chromereleases.googleblog.com/2022/02/stable-channel-update-for-desktop_14.html
• TAG: https://blog.google/threat-analysis-group/
• Chrome Security Page: https://sites.google.com/a/chromium.org/dev/Home/chromium-security
• CVE-2022-0603: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0603
• CVE-2022-0604: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0604
• CVE-2022-0605: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0605
• CVE-2022-0606: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0606
• CVE-2022-0607: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0607
• CVE-2022-0608: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0608
• CVE-2022-0609: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0609
• CVE-2022-0610: https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-0610