Google parchea nueva vulnerabilidad zero‑day en Chrome

El viernes pasado Google lanzó una actualización que corrige una nueva vulnerabilidad que está siendo utilizada por atacantes. Es la sexta zero-day que reparan en 2022.

El viernes pasado Google lanzó una actualización que corrige una nueva vulnerabilidad que está siendo utilizada por atacantes. Es la sexta zero-day que reparan en 2022.

Google lanzó el viernes una actualización para Google Chrome que corrige una nueva vulnerabilidad zero-day en el navegador. Clasificada como CVE-2022-3075, se trata de una vulnerabilidad de validación de datos insuficiente en Mojo, una colección de librerías runtime.

Por su parte, la compañía confirmó que está al tanto de la existencia de un exploit para este fallo que está siendo utilizado por cibercriminales en ataques, aunque no dio detalles de las características de los mismos.

Esta zero-day es la séptima que Google repara en lo que va de 2022. Vale la pena recordar que en 2021 la compañía reparó un total 17 vulnerabilidades que estaban siendo utilizadas por atacantes previo a que fueran reportadas.

Con esta actualización la última versión de Chrome es la 105.0.5195.102 para Windows, Mac y Linux.

Para entender el impacto que pueden llegar a tener estas vulnerabilidades en Google Chrome, el año pasado una investigación del equipo de investigación de ESET reveló detalles de una campaña para espiar dirigida a sitios web estratégicos en Medio Oriente en la cual explotaron una de las zero-day que fueron parcheadas en 2021.

Más acá en el tiempo, la primera de las zero-day parcheadas en 2022 fue corregida en febrero de este año y es la CVE-2022-0609, una vulnerabilidad del tipo user-after-free. Recientemente, investigadores de Google revelaron detalles de cómo ha estado siendo explotada esta vulnerabilidad y aseguró que al menos dos grupos de actores maliciosos explotaron el fallo en campañas maliciosas dirigidas a medios de noticias, compañías de Fintech y de criptomonedas de Estados Unidos y también de otros países. Una de estas campañas fue denominada Operation Dream Job y los atacantes apuntaron a individuos a través de falsas ofertas de trabajo.

Recomendamos a las personas que utilizan Google Chrome mantener el navegador actualizado y chequear periódicamente si hay alguna nueva versión disponible.

Suscríbase aquí para recibir actualizaciones sobre cualquier artículo nuevo en la sección crisis en Ucrania.

Newsletter

Discusión