Alerta de Seguridad No. 61/22: Múltiples vulnerabilidades en Google Chrome 

  • 19/08/2022
  • 231
Alerta de Seguridad No. 61/22: Múltiples vulnerabilidades en Google Chrome 

Google ha anunciado un nuevo aviso de seguridad sobre 11 vulnerabilidades incluyendo una de día cero activamente explotada en Google Chrome, que permitirían a un atacante potencialmente desencadenar un desbordamiento de buffer, inyección SQL, cross-site scripting (XSS), entre otros. 

Recursos afectados:

  • Google Chrome, versiones anteriores a 104.0.5112.102 (para Windows) 
  • Google Chrome, versiones anteriores a 104.0.5112.101 (para Mac y Linux) 

 

Descripción:

Las vulnerabilidades reportadas se componen de 1 de severidad Crítica, 6 de severidad Alta, y 3 de severidad Media. Las mismas se detallan a continuación: 

  • CVE-2022-2852, de severidad crítica. Esta vulnerabilidad se debe a una falla en el componente FedCM de Chrome. Esto permitiría a un atacante potencialmente realizar ejecución remota de código (RCE) y denegación de servicio (DoS) en el sistema afectado. 
  • CVE-2022-2856, de severidad alta. Esta vulnerabilidad de día cero (0-day) explotada activamente se debe a la validación insuficiente de una entrada no confiable en el componente Intents. Esto permitiría a un atacante potencialmente desencadenar un desbordamiento de buffer, inyección SQL, cross-site scripting (XSS), entre otros. 
  • CVE-2022-2854, de severidad alta. Esta vulnerabilidad se debe a una falla en el componente SwiftShader de Chrome. Esto permitiría a un atacante potencialmente realizar ejecución remota de código (RCE) y denegación de servicio (DoS) en el sistema afectado. 

 

La lista completa de vulnerabilidades se encuentra disponible en: https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_16.html. 

      Recomendaciones:

      • Instalar las actualizaciones correspondientes provistas por Google Chrome.

       

      Referencias:  

      • https://www.bleepingcomputer.com/news/security/google-fixes-fifth-chrome-zero-day-bug-exploited-this-year/ 
      • https://www.securityweek.com/google-patches-fifth-exploited-chrome-zero-day-2022 
      • https://securityonline.info/chrome-releases-security-update-to-fix-0-day-cve-2022-2856-vulnerability/ 
      • https://chromereleases.googleblog.com/2022/08/stable-channel-update-for-desktop_16.html 
      • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2852 
      • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2856 
      • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-2854  
      • https://www.google.com/intl/en_us/chrome/