Google lanzó un montón de correcciones de seguridad para el código del navegador Chrome y Chromium a principios de la semana pasada...

solo para recibir un informe de vulnerabilidad de los investigadores de la empresa de ciberseguridad Avast el mismo día.

La respuesta de Google fue lanzar otra actualización tan pronto como pudo: una corrección de un error relacionado con CVE-2022-3723, descrito con el legalismo habitual de Google que dice que no podemos confirmar ni negar:

Google está al tanto de los informes de que existe un exploit para CVE-2022-3723 en la naturaleza.

(Apple también usa regularmente un sabor similarmente desconectado de la notificación OMG-todos-hay-un-día-0, usando palabras en el sentido de que "está al tanto de un informe de que [un] problema puede haber sido explotado activamente").

Esta actualización de Chrome significa que ahora está buscando un número de versión 107.0.5304.87 o posterior.

De manera confusa, ese es el número de versión que se espera en Mac o Linux, mientras que los usuarios de Windows pueden obtener 107.0.5304.87 o 107.0.5304.88 y, no, no sabemos por qué hay dos números diferentes allí.

Por si sirve de algo, la causa de este agujero de seguridad se describió como "confusión de tipo en V8" , que en la jerga significa "hubo un error explotable en el motor de JavaScript que podría ser activado por un código no confiable y datos no confiables que ingresaron aparentemente de manera inocente". desde afuera".

Hablando en términos generales, eso significa que es casi seguro que simplemente visitar y ver un sitio web con trampas explosivas, algo que se supone que no debe ponerlo en peligro por sí solo, podría ser suficiente para iniciar un código malicioso e implantar malware en su dispositivo, sin ventanas emergentes. u otras advertencias de descarga.

Eso es lo que se conoce en la jerga del cibercrimen como una instalación oculta .

“Al tanto de los informes”

Suponemos, dado que una empresa de ciberseguridad informó esta vulnerabilidad y dada la publicación casi inmediata de una actualización de un error, que la falla se descubrió en el curso de una investigación activa sobre una intrusión en la computadora o red de un cliente.

Después de un robo inesperado o inusual, donde las rutas de entrada obvias simplemente no aparecen en los registros, los cazadores de amenazas generalmente recurren a los detalles arenosos de los registros de detección y respuesta a su disposición, intentando reconstruir el sistema. nivel de detalles de lo que sucedió.

Dado que los exploits de ejecución remota de código del navegador (RCE) a menudo implican ejecutar código no confiable que proviene de una fuente no confiable de una manera inesperada, y lanza un nuevo hilo de ejecución que normalmente no aparecería en los registros...

…el acceso a datos forenses de “respuesta a amenazas” lo suficientemente detallados puede no solo revelar cómo ingresaron los delincuentes, sino también exactamente dónde y cómo en el sistema pudieron eludir las protecciones de seguridad que normalmente existirían.

En pocas palabras, trabajar hacia atrás en un entorno en el que puede reproducir un ataque una y otra vez y observar cómo se desarrolla, a menudo revelará la ubicación, si no el funcionamiento exacto, de una vulnerabilidad explotable.

Y, como puede imaginar, sacar una aguja de un pajar de forma segura es mucho, mucho más fácil si tiene un mapa de todos los objetos metálicos puntiagudos en el pajar para empezar.

En resumen, lo que queremos decir es que cuando Google dice "está al tanto de los informes" de un ataque lanzado al explotar Chrome en la vida real, estamos listos para asumir que puede traducir esto en "el error es real y realmente puede ser explotado, pero debido a que en realidad no investigamos el sistema pirateado en la vida real nosotros mismos, todavía estamos en terreno seguro si no vamos directamente y decimos: 'Hola a todos, es un día 0'. ”

La buena noticia sobre los descubrimientos de errores de este tipo es que probablemente se desarrollaron de esta manera porque los atacantes querían mantener en secreto tanto la vulnerabilidad como los trucos necesarios para explotarla, sabiendo que presumir de la técnica o usarla demasiado aceleraría su descubrimiento y así acortar su valor en ataques dirigidos.

Los exploits RCE del navegador de hoy en día pueden ser endiabladamente complejos de descubrir y costosos de adquirir, considerando el esfuerzo que organizaciones como Mozilla, Microsoft, Apple y Google ponen para fortalecer sus navegadores contra los trucos de ejecución de código no deseados.

En otras palabras, el rápido tiempo de aplicación de parches de Google y el hecho de que la mayoría de los usuarios recibirán la actualización rápida y automáticamente (o al menos de forma semiautomática), significa que el resto de nosotros ahora no solo podemos ponernos al día con los ladrones, sino también regresar. delante de ellos.

¿Qué hacer?

Aunque es probable que Chrome se actualice solo, siempre recomendamos verificar de todos modos.

Como se mencionó anteriormente, está buscando 107.0.5304.87 (Mac y Linux) o uno de 107.0.5304.87 y 107.0.5304.88 (Windows).

Use Más > Ayuda > Acerca de Google Chrome > Actualizar Google Chrome .

El sabor Chromium de código abierto del navegador, al menos en Linux, también se encuentra actualmente en la versión 107.0.5304.87 .

(Si usa Chromium en Linux o uno de los BSD, es posible que deba volver a consultar con su fabricante de distribución para obtener la última versión).

No estamos seguros de si la versión de Android de Chrome se ve afectada y, de ser así, qué número de versión buscar.

Puede ver los próximos anuncios de actualización para Android en el blog de lanzamientos de Chrome de Google.

Suponemos que los navegadores basados ​​en Chrome en iOS y iPadOS no se ven afectados, porque todos los navegadores de la App Store de Apple están obligados a usar el subsistema de navegación WebKit de Apple, que no usa el motor JavaScript V8 de Google.

Curiosamente, en el momento de escribir [2022-10-29T14:00:00Z], las notas de lanzamiento de Microsoft para Edge describían una actualización con fecha 2022-10-27 (dos días después de que los investigadores informaran sobre este error), pero no enumere CVE-2022-3723 como una de las correcciones de seguridad en esa compilación, que tenía el número 107.0.1418.24 .

Por lo tanto, asumimos que buscar cualquier versión de Edge superior a esta indicará que Microsoft ha publicado una actualización contra este agujero.

Puede estar atento a los parches de Edge a través de la página de actualizaciones de seguridad de Edge de Microsoft .

Fuente: https://nakedsecurity.sophos.com/2022/10/29/chrome-issues-urgent-zero-day-fix-update-now/

Palabras clave: Google , Google Chrome , Vulnerabilidad