Chrome publica una actualización de seguridad de emergencia debido a un nuevo zero-day

Google publicó una actualización urgente para una vulnerabilidad de día cero encontrada el 23 de marzo que afecta a Chrome. Google le dio al CVE-2022-1096 una calificación de alta gravedad y afirmó que existe un exploit para la vulnerabilidad. Corrigieron el error para los usuarios de los sistemas operativos Windows, Mac y Linux en Chrome […]

Google publicó una actualización urgente para una vulnerabilidad de día cero encontrada el 23 de marzo que afecta a Chrome.

Google le dio al CVE-2022-1096 una calificación de alta gravedad y afirmó que existe un exploit para la vulnerabilidad. Corrigieron el error para los usuarios de los sistemas operativos Windows, Mac y Linux en Chrome 99.0.4844.84.

Microsoft también lanzó una advertencia sobre el problema junto con un parche para los usuarios de Edge. Expertos afirman que el problema está relacionado con V8, el motor JavaScript de código abierto de Google.

La vulnerabilidad se envió de forma anónima, según Google.

En medios se afirmó que “Esto es bastante inusual para Google, por lo general solucionan múltiples problemas en este tipo de lanzamientos, lo que sugiere que están bastante preocupados y muy motivados para ver correcciones contra CVE-2022-1096 aplicadas en su base de usuarios lo antes posible”, dijo Casey Ellis de BugCrowd.

Michael Freeman, CTO de Cyber ​​Threat Cognitive Intel (CTCI), mencionó en entrevistas que la vulnerabilidad es una «confusión de tipo» en el exploit del motor JavaScript V8, (explicando que V8 es el componente de Chrome que maneja el procesamiento del código JavaScript).

Una confusión de tipos se refiere a errores de codificación durante los cuales una aplicación inicializa operaciones de ejecución de datos utilizando la entrada de un «tipo» específico, pero se engaña para que procese la entrada incorrecta como un «tipo» diferente.

“Esto conduce a errores lógicos en la memoria de la aplicación, lo que permite que un atacante ejecute códigos maliciosos sin restricciones dentro de una aplicación.

Este es el segundo día 0 en Chrome que Google anuncia este año. La semana pasada, el gigante tecnológico hizo mención que actores maliciosos de Corea del Norte explotaron el CVE-2022-0609, el cual fue parchado en un lanzamiento de febrero.

Adam Weidemann, de Google Threat Analysis Group, explicó que el 10 de febrero la compañía descubrió dos campañas norcoreanas diferentes, que atribuyeron a Operation Dream Job y Operation AppleJeus, y que explotaban la vulnerabilidad.