Google Corrige Quinto Fallo de Seguridad 'Zero-Day' en Chrome en 2022
Google lanza una actualización para solucionar la quinta vulnerabilidad de día cero explotada activamente en Chrome este año.
#Google#Chrome#Ciberseguridad#Zero-day#Vulnerabilidad
La vulnerabilidad, identificada como CVE-2022-2856 y calificada como alta en el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS), está relacionada con la "validación insuficiente de entradas no confiables en Intents", según el aviso publicado por Google.
Google acredita a Ashley Shen y Christian Resell de su Google Threat Analysis Group (TAG) por reportar el fallo zero-day, que podría permitir la ejecución de código arbitrario, el 19 de julio. El aviso también reveló otros 10 parches para varios problemas de Chrome.
Google acredita a Ashley Shen y Christian Resell de su Google Threat Analysis Group (TAG) por reportar el fallo zero-day, que podría permitir la ejecución de código arbitrario, el 19 de julio. El aviso también reveló otros 10 parches para varios problemas de Chrome.
En Chrome, los desarrolladores deben usar su cadena de intención como se define en el documento, según Branch, una empresa que ofrece varias opciones de enlace para aplicaciones móviles.
La validación insuficiente está asociada con la validación de entrada, una técnica utilizada con frecuencia para verificar las entradas potencialmente peligrosas para garantizar que sean seguras para su procesamiento dentro del código o al comunicarse con otros componentes, según el sitio Common Weakness Enumeration de MITRE.
La validación insuficiente está asociada con la validación de entrada, una técnica utilizada con frecuencia para verificar las entradas potencialmente peligrosas para garantizar que sean seguras para su procesamiento dentro del código o al comunicarse con otros componentes, según el sitio Common Weakness Enumeration de MITRE.
Publicar detalles sobre una vulnerabilidad de día cero explotada activamente justo cuando hay disponible un parche podría tener consecuencias nefastas, porque lleva tiempo implementar las actualizaciones de seguridad en los sistemas vulnerables y los atacantes están ansiosos por explotar este tipo de fallos, observó Satnam Narang, ingeniero de investigación de seguridad de la empresa de ciberseguridad Tenable.
Mantener la información en secreto también es sensato dado que otras distribuciones de Linux y navegadores, como Microsoft Edge, también incluyen código basado en el proyecto Chromium de Google; todos estos podrían verse afectados si se lanza un exploit para una vulnerabilidad, dijo.
Mantener la información en secreto también es sensato dado que otras distribuciones de Linux y navegadores, como Microsoft Edge, también incluyen código basado en el proyecto Chromium de Google; todos estos podrían verse afectados si se lanza un exploit para una vulnerabilidad, dijo.
FedCM, abreviatura de Federated Credential Management API, proporciona una abstracción específica para flujos de identidad federados en la web, según Google.
El parche zero-day es el quinto fallo de Chrome bajo ataque activo que Google ha parcheado en lo que va del año.
El parche zero-day es el quinto fallo de Chrome bajo ataque activo que Google ha parcheado en lo que va del año.
En mayo, fue una falla de desbordamiento de búfer separada, CVE-2022-2294, y bajo ataque activo que recibió un parche.
En abril, Google corrigió CVE-2022-1364, un fallo de confusión de tipo que afecta el uso del motor JavaScript V8 de Chrome, en el que ya habían incurrido los atacantes. El mes anterior, un problema de confusión de tipo separado en V8, identificado como CVE-2022-1096 y bajo ataque activo, también impulsó un parche apresurado. En febrero se solucionó el primero de los zero-days de Chrome de este año, un fallo de uso después de la liberación en el componente de animación de Chrome, identificado como CVE-2022-0609, que ya estaba bajo ataque. Más tarde se reveló que hackers norcoreanos estaban explotando el fallo semanas antes de que fuera descubierto y parcheado.
En abril, Google corrigió CVE-2022-1364, un fallo de confusión de tipo que afecta el uso del motor JavaScript V8 de Chrome, en el que ya habían incurrido los atacantes. El mes anterior, un problema de confusión de tipo separado en V8, identificado como CVE-2022-1096 y bajo ataque activo, también impulsó un parche apresurado. En febrero se solucionó el primero de los zero-days de Chrome de este año, un fallo de uso después de la liberación en el componente de animación de Chrome, identificado como CVE-2022-0609, que ya estaba bajo ataque. Más tarde se reveló que hackers norcoreanos estaban explotando el fallo semanas antes de que fuera descubierto y parcheado.
Historias Relacionadas
