Sun. Oct 2nd, 2022

No todas las actualizaciones de canales estables para Google Chrome contienen funciones nuevas e interesantes, pero eso no significa que debas ignorarlas. Mantener su software actualizado es de vital importancia, ya que los actores maliciosos siempre encuentran nuevos errores para explotar. Hablando de eso, Google lanzó la versión 99.0.4844.84 de Chrome el viernes pasado para solucionar un nuevo error de día cero.

La actualización de Chrome corrige el error de día cero

Como señaló Prudhvikumar Bommana de Google en una publicación de blog el viernes, la compañía es consciente de que existe un exploit para CVE-2022-1096 en la naturaleza. Bleeping Computer señala que el error de día cero es una debilidad de confusión de tipos de alta gravedad en el motor JavaScript V8 de Chrome. Una fuente anónima informó el error a Google el 23 de marzo, solo dos días antes de que se implementara la actualización. Si un atacante puede explotar un tipo de vulnerabilidad de confusión, podría permitirle ejecutar código arbitrario en el navegador. También pueden ver, editar o eliminar datos si tienen los privilegios necesarios. Sin embargo, no estamos seguros de cómo los atacantes podrían explotar este error específico, porque Google quiere que todos actualicen Chrome antes de compartir detalles. “El acceso a los detalles de los errores y los enlaces puede mantenerse restringido hasta que la mayoría de los usuarios se actualicen con una solución”, explica Google. “También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se han solucionado”.

Otras hazañas recientes

Esta es la segunda vulnerabilidad importante de Chrome que Google tuvo que parchear en 2022. Como señaló Bleeping Computer, los piratas informáticos del estado de Corea del Norte explotaron un error de día cero durante más de un mes. Google finalmente logró parchearlo en febrero. Los piratas informáticos utilizaron correos electrónicos y sitios web falsos y comprometidos para engañar a los objetivos y activar el exploit. “Los atacantes hicieron uso de un kit de explotación que contenía múltiples etapas y componentes para explotar a los usuarios objetivo”, reveló Google. “Los atacantes colocaron enlaces al kit de explotación dentro de iframes ocultos, que incrustaron en los sitios web de su propiedad y en algunos sitios web que comprometieron”. Los grupos de piratas informáticos se dirigieron a más de “250 personas que trabajan para 10 medios de comunicación, registradores de dominios, proveedores de alojamiento web y proveedores de software diferentes”. El Grupo de Análisis de Amenazas (TAG) de Google dijo que la actividad era consistente con la campaña de ciberespionaje Operation Dream Job. Los atacantes atraerían a las víctimas con ofertas de trabajo falsas de las principales empresas aeroespaciales y de defensa. Algunos de los dominios falsos intentaron reflejar ZipRecruiter, Indeed y DisneyCareers.

Cómo actualizar tu navegador Chrome

Chrome no siempre aplica las últimas actualizaciones cuando abres el navegador, así que si quieres comprobar y ver qué versión estás ejecutando, ve a Ajustes y luego Acerca de cromo en la parte inferior de la barra de menú en el lado izquierdo de la pantalla. Si ya está ejecutando la última versión del navegador, entonces está listo para comenzar. De lo contrario, debe comenzar el proceso de actualización lo antes posible. Una vez que termine de descargarse, haga clic en el Relanzar botón para finalizar la actualización.
Fuente: BGR

By Sebastian Jimenez

Si hubiera una ciencia basada en el código binario, sería su principal devoto. Dame juegos y circuitos y me harás feliz. Residiendo en Sevilla.