Google ha instado a los usuarios de Chrome a actualizar el navegador web a la última versión para evitar ser atacados por ciberdelincuentes.
A fines de la semana pasada, la compañía lanzó Chrome 99.0.4844.84 para Windows, Mac y Linux, que corrige una vulnerabilidad de día cero de alta gravedad que permite la ejecución remota de código.
Además, ya se ha abusado del problema en escenarios reales. «Google es consciente de que existe un exploit para CVE-2022-1096», dijo la compañía.
Google Chrome día cero
Rastreada como CVE-2022-1096, la vulnerabilidad se describe como una debilidad confusa en el motor de JavaScript Chrome V8.
Permite que un atacante bloquee el navegador y, por lo tanto, podría usarse indebidamente para un ataque de denegación de servicio, así como para ejecutar código arbitrario, lo que podría provocar infecciones de malware y ransomware.
Debido a que la falla se explota en la naturaleza, Google retiene deliberadamente información adicional hasta que los usuarios puedan reparar sus sistemas.
«El acceso a los detalles de errores y enlaces puede estar restringido hasta que la mayoría de los usuarios se actualicen con una solución», dijo Google. «También mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero que aún no se ha solucionado».
La solución ya está disponible, pero podrían pasar semanas antes de que llegue a todos los usuarios de Chrome. Cualquiera que quiera comprobar si su cliente se ha actualizado automáticamente puede hacerlo a través del menú de Chrome > Ayuda > Acerca de Google Chrome, que revelará el número de versión.
Este es el segundo día cero encontrado y corregido en Chrome desde principios de año, luego del descubrimiento de CVE-2022-0609. Google describe la vulnerabilidad como «uso después de gratis en animación», pero no dio muchos detalles sobre lo que implica o el riesgo extremo.
La compañía dice que se abusa de las fallas por naturaleza, pero se negó a compartir detalles sobre cómo o quién las abusa. No está claro si se ha desarrollado malware para explotar la falla y si las soluciones antivirus lo detectarán o no.
Vía BleepingComputer
