En su más reciente reporte de seguridad, Google anunció el lanzamiento de Chrome 97, que incluye correcciones para 37 errores, entre los que destacan 24 vulnerabilidades reportadas por investigadores independientes. De estas fallas, una es considerada crítica, diez son de alta severidad, 10 son de mediano riesgo y tres más son de baja severidad.
La vulnerabilidad crítica fue identificada como CVE-2022-0096 y descrita como un error use-after-free en el almacenamiento cuya explotación permitiría la ejecución de código en el contexto del navegador. Cinco de las 10 fallas graves también son errores use-after-free que residen en diversos componentes de Chrome.
Las cinco fallas graves restantes son errores de implementación inadecuada en DevTools, confusión de tipos en V8 y desbordamientos de búfer de pila en Bookmarks, V8 y ANGLE, mientras la mitad de los problemas de gravedad media son errores de implementación en componentes como navegación, Autocompletar, Blink y composición.
Las fallas restantes incluyen un error use-after-free en la API de File Manager, IU de seguridad incorrecta en la función Autocompletar y la IU del navegador, acceso fuera de los límites a la memoria en Web Serial y uso no inicializado en la API de archivos. Finalmente, los errores de baja severidad incluyen una evasión de políticas en Service Workers y dos implementaciones inadecuadas de WebShare y contraseñas.
Google menciona que hasta el momento no se han detectado intentos de explotación activa relacionados con estas fallas, por lo que se descarta actividad maliciosa.
Hasta ahora la compañía ha pagado unos $54,000 USD a los investigadores que reportaron estos errores, aunque ha trascendido que Google todavía tiene que pagar las recompensas correspondientes a diez de los reportes recibidos.
La última versión del navegador ahora se está implementando en máquinas con Windows, Mac y Linux como Chrome 97.0.4692.71.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.