Google corrige el día cero de Chrome que se utiliza en exploits en la naturaleza

Publicado por: Manuel Abreu Ortiz - social@manuelabreuo.com

Google ha lanzado parches para dos fallos de seguridad en Chrome, de los cuales uno estaba siendo explotado en la naturaleza.

El día cero se rastrea como CVE-2022-1364, un fallo de alta gravedad comunicado al equipo de Chrome por Clément Lecigne del Grupo de Análisis de Amenazas de Google el.

Google no ha revelado detalle al respecto en el blogpost, además de que se trata de una confusión de tipo en el motor V8 de JavaScript de Chrome.

“Google es consciente de que existe un exploit para CVE-2022-1364 en la naturaleza”, dice la compañía.

Las correcciones están contenidas en la versión 100.0.4896.127 del canal estable de Chrome para Windows, Mac y Linux. Según Google, se desplegará en los próximos días o semanas.

La Agencia de Ciberseguridad e Infraestructura del Gobierno de EE.UU. aconseja a los usuarios que actualicen su software y afirma que “esta versión soluciona una vulnerabilidad que un atacante podría aprovechar para tomar el control de un sistema afectado”. Esta vulnerabilidad se ha detectado en exploits in the wild”.

Google solucionó 14 fallos de día cero de Chrome en 2021, frente a los siete de 2020. Google argumentó que el aumento de los días cero de Chrome podría ser alarmante para algunos, pero también puede indicar que la compañía está mejorando en la captura y la fijación de ellos. Una de las razones por las que los hackers se centran en Chrome es la desaparición de Adobe Flash Player, que antes era un gran objetivo.

Este mes de febrero, Google también parcheó el día cero de Chrome CVE-2022-0609 y en marzo parcheó otro fallo, CVE-2022-1096 que estaba siendo explotado en la naturaleza.

Google vinculó el uso de CVE-2022-0609 a varios grupos de piratas informáticos asociados con el grupo de piratas informáticos estatal norcoreano Lazarus. Los investigadores de Google TAG dijeron que creían que diferentes grupos de piratas informáticos norcoreanos compartían la misma cadena de suministro de software, por lo que utilizaban el mismo kit de explotación. Según Google, el grupo tenía como objetivo organizaciones estadounidenses de los sectores de los medios de comunicación, la tecnología, la criptomoneda y la tecnología financiera.

Info – Ciberseguridad Latam

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *