El gigante de las búsquedas Google lanzó el viernes una actualización de seguridad fuera de banda para corregir una nueva falla de día cero explotada activamente en su navegador web Chrome.
La falla de alta gravedad, rastreada como CVE-2022-4262, se refiere a un error de confusión de tipos en el motor JavaScript V8. A Clement Lecigne, del Threat Analysis Group (TAG) de Google, se le atribuye el informe del problema el 29 de noviembre de 2022.
Las vulnerabilidades de confusión de tipos podrían ser utilizadas como armas por los actores de amenazas para realizar un acceso a la memoria fuera de los límites o provocar un bloqueo y la ejecución de código arbitrario.
De acuerdo con la base de datos de vulnerabilidad nacional del NIST, la falla permisos un «atacante remoto para explotar potencialmente la corrupción del montón a través de una página HTML manipulada».
Google reconoció la explotación activa de la vulnerabilidad, pero no llegó a compartir detalles adicionales para evitar más abusos.
CVE-2022-4262 es la cuarta falla de confusión de tipo explotada activamente que Google ha abordado desde principios de año. También es la novena falla de día cero en Chrome que los atacantes han explotado en la naturaleza en 2022:
Se recomienda a los usuarios actualizar a la versión 108.0.5359.94 para macOS y Linux y 108.0.5359.94/.95 para Windows para mitigar posibles amenazas.
También se recomienda a los usuarios de navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi que apliquen las correcciones a medida que estén disponibles.