Vulnerabilidades K2

Contacto

Miércoles, 31 Agosto 2022 14:32

Vulnerabilidades en productos Google Chrome

El servicio de Cyberthreats de Entelgy Innotec Security avisa del lanzamiento de actualizaciones de seguridad para solucionar varias vulnerabilidades en Google Chrome.

Nivel de peligrosidad: CRÍTICO.

Google Chrome, popular software de navegación web, ha lanzado una actualización de la versión estable de Google Chrome para Windows, Mac y Linux. El aviso publicado por la compañía incluye 24 correcciones de seguridad que solucionan múltiples vulnerabilidades entre las que destacan los errores use-after-free, el desbordamiento de búfer, la implementación inadecuada de aislamiento, la validación insuficiente de entrada y la ejecución de código arbitrario de forma remota, pudiendo comprometer de esta manera el sistema afectado. Estos fallos fueron reportados a la compañía por distintos investigadores e ingenieros de seguridad, entre los que destacan los analistas Sergei Glazunov, Nan Wang, Guang Gong, Ziling Chen, “koocola”, Ginggil Besel, Lucas Pinheiro, Ben Noordhuis y Rong Jian.

A continuación, se detallan las 9 vulnerabilidades más relevantes reportadas en el aviso, siendo una de ellas catalogada por la compañía como crítica, teniendo el resto una severidad alta. No obstante, como es habitual siguiendo la política de seguridad de Google, no se han dado muchos detalles sobre los fallos reportados para evitar su explotación, por lo que las especificaciones técnicas pueden mantenerse restringidas hasta que la mayoría de los usuarios actualicen sus navegadores.

CVE

Severidad

Descripción

CVE-2022-3038

Crítica

Vulnerabilidad existe debido a un error use-after-free dentro del componente de Servicio de Red en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite, desencadenar este tipo de error y ejecutar código arbitrario en el sistema de destino.

CVE-2022-3039

Alta

Vulnerabilidad que se debe a un error use-after-free dentro del componente WebSQL en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite, desencadenar el error mencionado y ejecutar código arbitrario en el sistema de destino.

CVE-2022-3040

Alta

Vulnerabilidad que existe debido a un error use-after-free dentro del componente Layout en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite, desencadenar el error mencionado y ejecutar código arbitrario en el sistema de destino.

CVE-2022-3041

Alta

Vulnerabilidad que se debe a un error use-after-free dentro del componente WebSQL en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite, desencadenar el error mencionado y ejecutar código arbitrario en el sistema de destino.

CVE-2022-3042

Alta

Vulnerabilidad que existe debido a un error use-after-free dentro del componente PhoneHub en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite, desencadenar este tipo de error y ejecutar código arbitrario en el sistema de destino.

CVE-2022-3043

Alta

Vulnerabilidad que se debe a un boundary error al procesar contenido HTML no fiable en Screen Capture. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la abra, desencadenar un desbordamiento de búfer y ejecutar código arbitrario en el sistema de destino.

CVE-2022-3044

Alta

Vulnerabilidad causada por una implementación incorrecta en el aislamiento de sitios en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite y comprometer el sistema.

CVE-2022-3045

Alta

Vulnerabilidad que se debe a una validación de entrada inadecuada en el componente V8 de Google Chrome. Un atacante remoto puede engañar a la víctima para que abra una página web especialmente diseñada y ejecute código arbitrario en el sistema de destino.

CVE-2022-3046

Alta

Vulnerabilidad que existe debido a un error use-after-free dentro del componente Browser Tag en Google Chrome. Un atacante remoto puede crear una página web especialmente diseñada, engañar a la víctima para que la visite, desencadenar el error destacado y ejecutar código arbitrario en el sistema de destino.

La base de datos del NIST por el momento no ha registrado estas vulnerabilidades, por lo tanto, no se les ha asignado puntuación de acuerdo a la escala CVSSv3. Sin embargo, la vulnerabilidad CVE-2022-3038 ha sido calificada como crítica, teniendo el resto de vulnerabilidades una severidad alta, según el fabricante. Actualmente no se tiene conocimiento de reportes sobre actividad dañina en la red ni de la disponibilidad de exploits que aprovechen estos errores, así como tampoco, se han publicado pruebas de concepto (PoC) sobre los detalles de los fallos publicados.

Recursos afectados:

  • Google Chrome. Versiones 70.0.3538.67 - 104.0.5112.102

Solución a las vulnerabilidades:

Se ha actualizado a la versiones 105.0.5195.52/53/54 (Windows) 105.0.5195.52 (Mac y Linux) para Chrome Desktop disponible en el siguiente enlace:

Para facilitar la instalación, se recomienda seguir las instrucciones ofrecidas por el fabricante.

Recomendaciones:

El servicio de Cyberthreats de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los parches de seguridad publicados por el fabricante, con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Por el momento, se desconocen medidas de mitigación alternativas a las propias actualizaciones lanzadas por Google para solucionar estas vulnerabilidades.

Referencias:

S5 Box