Google ha puesto solución a 28 vulnerabilidades con el lanzamiento de la actualización 100.0.4896.60 para su navegador Chrome. Al menos 9 de ellas tienen una calificación de gravedad alta, lo que se suma a la CVE-2022-1096, otra vulnerabilidad de alta gravedad que Google parcheó con una actualización aislada hace solo unos días.
Por tanto, en total, los desarrolladores de Chrome han lanzado parches para 10 vulnerabilidades de alta gravedad en menos de una semana. Es decir, si no has reiniciado tu ordenador en mucho tiempo o no has reiniciado tu navegador recientemente, es hora de actualizarlo.
La vulnerabilidad CVE-2022-1096
De momento, Google no ha publicado información sobre ninguna de las vulnerabilidades: según la política de seguridad de la empresa, el acceso a una descripción detallada de los errores permanece restringido hasta que la mayoría de los usuarios activos actualicen su navegador. Pero ya está claro que es la vulnerabilidad CVE-2022-1096 (la que Google cerró con un parche aislado el viernes 25 de marzo, solo cuatro días antes de la actualización principal) la que puede causar auténticos problemas.
La CVE-2022-1096 pertenece a la clase Type Confusion, eso significa que está conectada a algún error en la gestión de tipos de datos en el motor V8. La vulnerabilidad es bastante peligrosa, a juzgar por el hecho de que Google haya abordado este error por aislado con un parche de emergencia. Además, según las notas del lanzamiento del parche, Google sabía que el 25 de marzo ya existía un exploit para esta vulnerabilidad. Al día siguiente, Microsoft corrigió la misma vulnerabilidad en su navegador Edge basado en Chromium.
En resumen, podemos suponer que no solo existe el exploit para la vulnerabilidad, sino que los atacantes lo están utilizando activamente.
Otras 28 vulnerabilidades nuevas
De las 28 vulnerabilidades que aborda la última actualización, la mayoría (20) fueron descubiertas por investigadores independientes y las ocho restantes por expertos internos de Google. De las nueve vulnerabilidades con un nivel de gravedad alto, cuatro (CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133) pertenecen a la clase use-after-free; tres más (CVE-2022-1128, CVE-2022-1129, CVE-2022-1132) están relacionadas con la implementación inapropiada en varios componentes, otra (CVE-2022-1130) tiene que ver con una validación insuficiente de entrada no confiable en WebOTP y la última (CVE-2022-1134), al igual que la mencionada CVE-2022-1096, es un problema Type Confusion en el motor V8.
¿Cómo mantenerte a salvo?
En primer lugar, debes actualizar tu navegador a la última versión; en estos momentos es 100.0.4896.60. Si tu versión de Chrome es anterior, eso significa que tu navegador no se ha actualizado automáticamente, por lo que te recomendamos que lo actualices manualmente siguiendo nuestras instrucciones con el paso a paso.
Si usas Microsoft Edge, no olvides actualizarlo también; se hace de la misma forma que con Google Chrome.
También te recomendamos que sigas las noticias y actualices a tiempo los programas más críticos, entre las que se incluyen las soluciones de seguridad, los navegadores, los paquetes ofimáticos y el propio sistema operativo.
Además, te recomendamos usar soluciones de seguridad de confianza que puedan detectar y evitar automáticamente los intentos de explotación de vulnerabilidades, para que puedas protegerte de los ataques incluso antes de que se publiquen los parches oficiales.