Actualización en Google Chrome corrige zero-day explotada activamente

Este lunes Google lanzó una actualización para el navegador Google Chrome que corrige una vulnerabilidad zero-day reportada el 1 de julio que afecta a la versión tanto de escritorio como de Android.

Registrada como CVE-2022-2294, se trata de una vulnerabilidad de alta severidad presente en el componente WebRTC que provoca un overflow del búfer en el heap, lo cual puede dar lugar a la ejecución de código arbitrario; es decir, que un atacante que explote el fallo podrá ejecutar comandos o inyectar código en una app para que realice una acción deseada, como desactivar una software de seguridad, por ejemplo.

Por su parte, Google confirmó en un comunicado que está al tanto de la existencia de un exploit que está siendo utilizado activamente para aprovechar esta vulnerabilidad.

Si bien el gigante tecnológico no compartió detalles sobre la explotación de la vulnerabilidad hasta que la mayoría de los usuarios hayan actualizado a la última versión, es importante mencionar que se trata de la cuarta vulnerabilidad zero-day que se corrige en Chrome en lo que va de 2022. También es importante mencionar que en 2021 fueron 17 las vulnerabilidades zero-day corregidas en Chrome, muchas de ellas siendo explotadas activamente por atacantes al momento de lanzarse los parches.

A modo de ejemplo para comprender qué tipo de actores maliciosos aprovechan las vulnerabilidades en Chrome, en 2021 investigadores de ESET analizaron una campaña de espionaje que tenía como objetivo el compromiso de sitios web estratégicos en Medio Oriente en la cual los operadores detrás de esa campaña abusaron de dos vulnerabilidades reportadas ese año en el navegador.

En Windows, Linux y macOS la nueva versión de Chrome es la 103.0.5060.114 y para Android es la 103.0.5060.71. Para actualizar el navegador los usuarios de escritorio deben ir al menú de Google Chrome, seleccionar la opción Help (settings en Android) y luego About Google Chrome. La compañía afirmó que ya lanzó la nueva versión y que en los próximos días o semanas estará disponible para todos los usuarios a nivel global.