Hace pocos días Google lanzó una actualización de seguridad de emergencia por una vulnerbilidad de severidad alta, con el identificador CVE-2022-1096, que está siendo activamente explotada, la cual se corregía en las versiones 99.0.4844.84 de Google Chrome y 99.0.1150.55 de Microsoft Edge.

Con fecha 29/03/2022, Google ha lanzado la versión estable 100, que corrige 28 problemas de seguridad.

Productos afectados:

• Chrome, versiones anteriores a la 100.0.4896.60.
• Microsoft Edge, versiones anteriores a la 99.0.1150.55.
• Opera
• Vvaldi
• Chromium

Descripción:

La vulnerabilidad CVE-2022-1096 genera un error de tipo "confusión"  en el motor de JavaScript V8, lo que puede permitir a un atacante remoto el acceso a la memoria fuera de límites y posiblemente la ejecución de código.

Google ha declarado que no brindará detalles de las vulnerabilidades hasta que la mayoría de los usuarios realicen las actualizaciones, pero ha publicado los siguientes identificadores:

Vulnerabilidades de severidad alta: CVE-2022-1125, CVE-2022-1127, CVE-2022-1128, CVE-2022-1129, CVE-2022-1130, CVE-2022-1131, CVE-2022-1132, CVE-2022-1133, CVE-2022-1134.

Vulnerabilidades de severidad media: CVE-2022-1135, CVE-2022-1136, CVE-2022-1137, CVE-2022-1138, CVE-2022-1139, CVE-2022-1141, CVE-2022-1142, CVE-2022-1143, CVE-2022-1144, CVE-2022-1145.

Vulnerabilidad de severidad baja: CVE-2022-1146.

Recomendaciones:

Instalar las últimas actualizaciones publicadas por el proveedor.

Referencias:

• https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html
• https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-1096
• https://ubuntu.com/security/notices/USN-5350-1
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1096