Alerta de Seguridad No. 31/22: Google corrige nuevas vulnerabilidades en Chrome

  • 13/05/2022
  • 354
Alerta de Seguridad No. 31/22: Google corrige nuevas vulnerabilidades en Chrome

Google ha lanzado esta semana una nueva actualización de seguridad para la versión 101 de Chrome, la cual corrige 13 fallas de seguridad.

Productos afectados:

  • Versiones anteriores a la 101.0.4951.64 para Windows, macOS y Linux.
  • Versiones anteriores a la 101.0.4951.61 para Android.

 

Descripción:

Es una práctica estándar en Google no proporcionar una descripción detallada de las vulnerabilidades hasta tanto la mayoría de los usuarios hayan realizado las actualizaciones. De las 13 vulnerabilidades corregidas Google cataloga 8 como de riesgo alto y una medio. De estas, siete vulnerailidades son del tipo Use-After-Free (UAF). El código del programa utiliza áreas de memoria o punteros a la memoria, aunque estos ya han sido liberados. Lo que está en el destino permanece indefinido. Los atacantes pueden llenar estas áreas de memoria con su propio código, que luego se ejecuta.

Los identificadores de las vulnerabilidades de riesgo alto son: 

  • CVE-2022-1633: Error de uso de memoria después de ser liberada en Sharesheet.
  • CVE-2022-1634: Error de uso de memoria después de ser liberada en Browser UI.
  • CVE-2022-1635: Error de uso de memoria después de ser liberada en Permission Prompts.
  • CVE-2022-1636: Error de uso de memoria después de ser liberada en Performance APIs.
  • CVE-2022-1637: Implementación inapropiada en Web Contents.
  • CVE-2022-1638: Desborde de buffer en lotes en Web Contents.
  • CVE-2022-1639: Error de uso de memoria después de ser liberada en V8 Internationalization.
  • CVE-2022-1640: Error de uso de memoria después de ser liberada en Sharing.

 

No se conoce que ninguna esté siendo explotada, como sí ha ocurrido con vulnerabiliadades anteriores en este navegador.

Recomendaciones:

  • Configurar el Chrome de forma tal que busque e instale de manera automática las últimas versiones disponibles.

 

Chrome 101.0.4951.61 para Android aparentemente corrige las mismas vulnerabilidades que las actualizaciones para las versiones de escritorio. Google lanzará Chrome 102 el 24 de mayo.

Referencias:

  • https://chromereleases.googleblog.com/2022/05/stable-channel-update-for-desktop_10.html
  • https://www.securityweek.com/chrome-101-update-patches-high-severity-vulnerabilities
  • https://www.csirt.gob.cl/vulnerabilidades/9vsa22-00637-01/