Google ha publicado una actualización inesperada de su navegador Chrome para abordar una falla de día cero WebRTC, la cual se está explotando activamente por ciberdelincuentes. El culpable es CVE-2022-2294, y es un problema en WebRTC, el código que dota a los navegadores de capacidades de comunicación en tiempo real. Los detalles de la falla, […]
Google ha publicado una actualización inesperada de su navegador Chrome para abordar una falla de día cero WebRTC, la cual se está explotando activamente por ciberdelincuentes.
El culpable es CVE-2022-2294, y es un problema en WebRTC, el código que dota a los navegadores de capacidades de comunicación en tiempo real.
Los detalles de la falla, número 1341043, no se detallan actualmente en el registro de errores del proyecto Chromium. La notificación de Google de una nueva versión del navegador lo describe como: “Desbordamiento de búfer de montón en WebRTC. Reportado por Jan Vojtesek del equipo de Avast Threat Intelligence el 2022-07-01”.
La solución es instalar Chrome 103.0.5060.114 para Windows y Chrome 103.0.5060.71 para Android.
La empresa tecnológica afirma que la falla está bajo ataque activo, pero no ofrece información sobre cómo uno podría detectarla o defenderse de ella más que actualizando Chrome. Dada la naturaleza y el propósito de WebRTC, probablemente sea mejor no usar herramientas de comunicación basadas en navegador hasta que pueda actualizar (como apps de videollamadas).
Las actualizaciones de Chrome también abordan otros defectos, a saber:
- CVE-2022-2295, una confusión de tipos en el motor JavaScript V8 utilizado en Chrome.
- CVE-2022-2296, un uso después de un error gratuito en Chrome OS Shell.
Los tres defectos se clasifican como de gravedad alta.
- Google: Cómo abordamos este software espía para iPhone y Android
- Microsoft corrige Follina de día cero de Windows bajo ataque
- IETF publica HTTP/3 RFC para llevar la web de TCP a UDP
Es la cuarta vez en 2022 que Google necesita emitir soluciones de emergencia. Afortunadamente, se actualiza solo con poca intervención del usuario, por lo que los muchos millones de usuarios del software deberían estar protegidos de estos últimos problemas en poco tiempo.
