Actualización de emergencia de Google Chrome corrige vulnerabilidad de día cero (0-day)

---

20/04/2022

Google ha lanzado Chrome 100.0.4896.127 para Windows, Mac y Linux, para corregir una vulnerabilidad de día cero de criticidad alta, que permitiría a un atacante realizar ejecución remota de código (RCE).

La vulnerabilidad identificada como CVE-2022-1364 de severidad alta con una puntuación asignada de 8.4. Esta vulnerabilidad se debe a un problema de confusión de tipo (acceso a recursos utilizando tipos de variables distintos) en el motor V8 JavaScript (un motor de código abierto utilizado por los navegadores web basados en Chrome y Chromium). Un atacante remoto podría engañar a la víctima para que visite una página web especialmente diseñada, desencadenar un error de confusión de tipo V8, que permitiría al atacante realizar ejecución remota de código (RCE) en el contexto del navegador, logrando modificar o eliminar datos e incluso el compromiso total del dispositivo vulnerable.

Las versiones afectadas son todas las versiones anteriores a la 100.0.4896.127.

Es posible instalar las actualizaciones proveídas por Google Chrome mediante la siguiente guía:

• https://support.google.com/chrome/answer/95414?hl=en&co=GENIE.Platform%3DDesktop

Adicionalmente, recomendamos que se tomen las siguientes medidas:

• Aplicar la actualización de canal estable proporcionada por Google a los sistemas vulnerables inmediatamente después de las pruebas adecuadas.
• Ejecutar todo el software como un usuario sin privilegios (uno sin privilegios administrativos) para disminuir los efectos de un ataque exitoso.
• Recordamos a los usuarios no visitar sitios web que no sean de confianza ni seguir los enlaces proporcionados por fuentes desconocidas o no confiables.
• Aplicar el Principio de Privilegios Mínimos a todos los sistemas y servicios.

Para más información, consulte el Aviso de Seguridad de Crome.

Referencias:

• https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_14.html
• https://www.cybersecurity-help.cz/vdb/SB2022041504
• https://www.bleepingcomputer.com/news/security/google-chrome-emergency-update-fixes-zero-day-used-in-attacks/
• https://www.cisecurity.org/advisory/a-vulnerability-in-google-chrome-could-allow-for-arbitrary-code-execution_2022-055