Google ha publicado esta semana una actualización de emergencia que aborda dos vulnerabilidades en su navegador web Chrome, incluyendo un fallo de confusión de tipo que ya ha sido explotado en la naturaleza.
En la actualización, Google declaró que tiene conocimiento de un ataque para CVE-2022-1364. Los detalles no se revelarán hasta que la mayoría de los usuarios de Chrome en Windows, Linux y Mac hayan actualizado a la versión 100.0.4896.127.
Los navegadores basados en Chromium, como Microsoft Edge, Brave y Vivaldi, se han visto afectados por dicho incidente.
El segundo problema que se ha resuelto parece estar relacionado con problemas internos. “Varias correcciones de auditorías internas, fuzzing y otras iniciativas”, según el aviso.
Los motores JavaScript y WebAssembly del navegador están afectados por la vulnerabilidad de malentendido de tipo (CVE-2022-1364). El software con este fallo asignará un recurso (como un puntero o un objeto) con un tipo y luego intentará acceder al recurso con otro tipo. El fallo puede utilizarse para provocar el bloqueo del navegador, generar errores lógicos o incluso ejecutar código arbitrario.
Esta es la tercera actualización de emergencia de Chrome en 2022, y la tercera vulnerabilidad de día cero del año. En marzo, Google (junto con Microsoft) parcheó un importante problema en el motor JavaScript de Chromium v8 que estaba siendo explotado activamente (CVE-2022-1096).