Durante la tarde del día jueves, Google lanzó una nueva serie de actualizaciones de software para abordar otra vulnerabilidad de día cero en su navegador web Chrome.
La vulnerabilidad rastreada como CVE-2022-4135, está considerada como de alta gravedad y se ha descrito como un Heap-based Buffer Overflow en el componente de la GPU. Clement Lecigne del Grupo de Análisis de Amenazas (TAG) de Google ha sido acreditado con el informe de la falla el 22 de noviembre de 2022.
Actualmente no existe un puntaje CVSS v3.0 para describir el nivel de gravedad, pero se conoce que ya existe un exploit y que se encontraría ya siendo utilizado en diferentes partes del mundo.
Los errores de Heap-based Buffer Overflow pueden ser utilizados como armas por los actores de amenazas para bloquear un programa o ejecutar código arbitrario, lo que lleva a un comportamiento no deseado y una posible vulneración del sistema en concreto.
«Google es consciente de que existe un exploit para CVE-2022-4135 en Internet«, reconoció el gigante tecnológico en un aviso publicado el día de ayer.
Pero al igual que otras vulnerabilidades explotadas activamente, los detalles técnicos se han mantenido en secreto hasta que la mayoría de los usuarios actualicen sus versiones de Chrome.
Con la última actualización, Google ha resuelto 8 vulnerabilidades de día cero en Chrome de lo que llevamos de año:
- CVE-2022-0609– Uso posterior a la liberación en animación.
- CVE-2022-1096– Confusión de tipo en V8.
- CVE-2022-1364– Confusión de tipo en V8.
- CVE-2022-2294– Heap-based Buffer Overflow en WebRTC.
- CVE-2022-2856– Validación insuficiente de entradas que no son de confianza en Intents.
- CVE-2022-3075– Validación de datos insuficiente en Mojo.
- CVE-2022-3723– Confusión de tipo en V8.
Se recomienda a los usuarios que actualicen a la versión 107.0.5304.121 para macOS y Linux y 107.0.5304.121/.122 para Windows para mitigar posibles amenazas.
También se recomienda a los usuarios de navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las actualizaciones cuando estas se encuentren disponibles.

Alerta Temprana de Riesgos Cibernéticos (ATRc®)
Attack Surface Management
Cyber Threat Intelligence