El navegador Chrome obtiene 11 correcciones de seguridad con 1 día cero: ¡actualice ahora! Inteligencia de datos PlatoBlockchain. Búsqueda vertical. Ai.

El navegador Chrome obtiene 11 correcciones de seguridad con 1 día cero: ¡actualice ahora!

Marca de tiempo: 17 de agosto de 2022 9:16 a.m.

by
Paul patito

La última actualización de Google Navegador Chrome está fuera, superando el número de versión de cuatro partes a 104.0.5112.101 (Mac y Linux), o para 104.0.5112.102 (Windows)

Según Google, la nueva versión incluye 11 correcciones de seguridad, una de las cuales tiene la anotación de que “existe un exploit [para esta vulnerabilidad] en la naturaleza”, convirtiéndolo en un agujero de día cero.

El nombre de día cero es un recordatorio de que hubo cero días en los que incluso el usuario o administrador de sistemas mejor informado y proactivo podría haber sido reparado antes que los chicos malos.

Detalles de actualización

Los detalles sobre las actualizaciones son escasos, dado que Google, al igual que muchos otros proveedores en la actualidad, restringe el acceso a los detalles de errores. "hasta que la mayoría de los usuarios se actualicen con una corrección".

Pero el de Google comunicado de prensa enumera explícitamente 10 de los 11 errores, de la siguiente manera:

  • CVE-2022-2852: Usar después de gratis en FedCM.
  • CVE-2022-2854: Usar después de gratis en SwiftShader.
  • CVE-2022-2855: Utilizar después de libre en ÁNGULO.
  • CVE-2022-2857: Usar después de gratis en Blink.
  • CVE-2022-2858: Usar después de gratis en Flujo de inicio de sesión.
  • CVE-2022-2853: Desbordamiento de búfer de montón en Descargas.
  • CVE-2022-2856: Validación insuficiente de entrada no confiable en Intents. (Día cero.)
  • CVE-2022-2859: Usar después de gratis en Chrome OS Shell.
  • CVE-2022-2860: Insuficiente aplicación de políticas en Cookies.
  • CVE-2022-2861: Implementación inapropiada en la API de Extensiones.

Como puede ver, siete de estos errores fueron causados ​​por una mala gestión de la memoria.

A utilizar después de liberación La vulnerabilidad significa que una parte de Chrome devolvió un bloque de memoria que no planeaba usar más, para que pudiera ser reasignado para su uso en otra parte del software...

… solo para continuar usando esa memoria de todos modos, lo que podría causar que una parte de Chrome dependa de los datos en los que pensó que podía confiar, sin darse cuenta de que otra parte del software aún podría estar manipulando esos datos.

A menudo, los errores de este tipo hacen que el software se bloquee por completo, estropeando los cálculos o el acceso a la memoria de forma irrecuperable.

A veces, sin embargo, los errores de uso después de la liberación pueden activarse deliberadamente para desviar el software de modo que se comporte mal (por ejemplo, omitiendo un control de seguridad o confiando en el bloque incorrecto de datos de entrada) y provoque un comportamiento no autorizado.

A desbordamiento de búfer de pila significa pedir un bloque de memoria, pero escribir más datos de los que caben con seguridad en él.

Esto desborda el búfer asignado oficialmente y sobrescribe los datos en el siguiente bloque de memoria, aunque esa memoria ya esté en uso por alguna otra parte del programa.

Por lo tanto, los desbordamientos de búfer suelen producir efectos secundarios similares a los errores de uso después de liberar: en su mayoría, el programa vulnerable se bloqueará; a veces, sin embargo, se puede engañar al programa para que ejecute código que no es de confianza sin previo aviso.

El agujero de día cero

El error del día cero CVE-2022-2856 se presenta sin más detalles de los que se ven arriba: "Validación insuficiente de entrada no confiable en Intents".

un cromo Intención es un mecanismo para activar aplicaciones directamente desde una página web, en el que los datos de la página web se introducen en una aplicación externa que se inicia para procesar esos datos.

Google no ha proporcionado ningún detalle sobre qué aplicaciones o qué tipo de datos podrían ser manipulados maliciosamente por este error...

…pero el peligro parece bastante obvio si el exploit conocido implica alimentar silenciosamente una aplicación local con el tipo de datos riesgosos que normalmente se bloquearían por motivos de seguridad.

¿Qué hacer?

Es probable que Chrome se actualice solo, pero siempre recomendamos verificar de todos modos.

En Windows y Mac, utilice Más > Ayuda > Acerca de Google Chrome > Actualizar Google Chrome.

Hay un boletín de lanzamiento separado para Chrome para iOS, que va a la versión 104.0.5112.99, pero aún no hay un boletín [2022-08-17T12:00Z] que mencione Chrome para Android.

En iOS, verifique que las aplicaciones de su App Store estén actualizadas. (Use la aplicación App Store para hacer esto).

Puede estar atento a cualquier próximo anuncio de actualización sobre Android en Google's Lanzamientos de Chrome blog

La variante Chromium de código abierto del navegador Chrome patentado también se encuentra actualmente en la versión 104.0.5112.101.

Microsoft Edge notas de seguridad, sin embargo, actualmente [2022-08-17T12:00Z] dice:

16 de agosto de 2022

Microsoft está al tanto de la explotación reciente existente en la naturaleza. Estamos trabajando activamente para lanzar un parche de seguridad según lo informado por el equipo de Chromium.

Puede estar atento a una actualización de Edge en el sitio web oficial de Microsoft. Actualizaciones de seguridad perimetral .

Sello de tiempo:

Mas de Seguridad desnuda