NUEVA ACTUALIZACIÓN DE SEGURIDAD EN GOOGLE CHROME

01/12/2022

BOLETÍN NRO 2022-706

Recientemente la compañia Google ha lanzado la actualización de Chrome 108.0.5359.94/.95 para los usuarios de Windows, Mac y Linux. Debido a una falla de seguridad de alta gravedad.

Servicios Afectados

• Sistemas operativos Windows
• Sistemas operativos macOS
• Sistemas operativos Linux

Detalles Tecnicos

CVE: CVE-2022-4174                                    Severidad:   ALTA

Google ha anunciado esta semana el lanzamiento de Chrome 108 con parches para 28 vulnerabilidades, entre ellas 22 notificadas por investigadores externos.
De los defectos de seguridad notificados externamente, ocho son de alta gravedad y 14 de gravedad media.
El más grave de estos fallos, es el CVE-2022-4174, un problema de confusión de tipo en el motor JavaScript V8 del navegador web.

El resto de las vulnerabilidades, con una severidad alta, son fallos de seguridad de memoria, incluyendo una escritura fuera de los límites y seis problemas de uso después de libre.

Durante más de un año, Google ha estado trabajando en la mejora de la seguridad de la memoria en Chrome, incluyendo el cambio de C++ a un compilador Rust. Este se considera un lenguaje de programación seguro para la memoria.

La escritura fuera de los límites se identificó en Lacros Graphics, mientras que los fallos de utilización después de libre afectan a componentes de Chrome como Camera Capture, Extensions Mojo, Audio y Forms.

Las 14 vulnerabilidades de gravedad media incluyen problemas de aplicación de políticas insuficientes, defectos de validación insuficiente de entradas no fiables, errores de implementación inadecuados y defectos de utilización después de la liberación.

Google no ha mencionado que ninguna de estas vulnerabilidades haya sido explotada en ataques.
La última iteración de Chrome ya está disponible como versión 108.0.5359.71 para Mac y Linux y como versión 108.0.5359.71/72 para Windows.

Chrome 108 se lanzó solo unos días después de que Google emitiera una actualización de emergencia para solucionar los zero day en el navegador web, actualmente es el octavo que se comunica públicamente en 2022.

 

Recomendaciones

Se recomienda a nuestros clientes que cuenten con los servicios que puedan verse afectados, seguir las siguientes acciones preventivas para reducir riesgos:

Para el personal de seguridad de información:

• Actualizar a las versiones recomendados por el proveedor para mitigar la vulnerabilidad.

• Mantener un protocolo estricto para realizar copias de seguridad de los activos de información de mayor criticidad.

• Mantener un protocolo de actualizaciones estricto de sistemas operativos, antivirus y todas las aplicaciones que se ejecutan en ellos.

• Concientizar constantemente a los usuarios en temas relacionados a seguridad informática.

• Mantener el conocimiento situacional de las últimas amenazas y zonas vulnerables de la organización.

** Al aplicar actualizaciones es importante que previamente en ambiente de desarrollo se valide y confirme a nivel de servicios, con el propósito de aplicar los cambios de manera controlada.

Para usuarios finales:

• No abrir correos electrónicos de dudosa procedencia (remitente desconocido), ni dar clic en enlaces, ni descargar archivos adjuntos desconocidos.

• Escanear todo el software descargado de Internet antes de la ejecución.

• De detectar cualquier actividad anómala en su equipo reportarlo inmediatamente a los encargados de seguridad de la información de su institución.

Fuente

• Fuente 1: Chrome 108 Patches High-Severity Memory Safety Bugs
• Fuente 2: Equipo de Anti-Fraude y Dark Web Intelligence SecureSoft

Contáctanos

Si usted tiene alguna consulta no dude en contactarse con nosotros: 

Perú:
Consultas técnicas: monitoreo_pe@securesoftcorp.com 
Consultas comerciales: ventas@securesoftcorp.com

Ecuador:
Consultas técnicas: monitoreo_ec@securesoftcorp.com
Consultas comerciales: ventas_ec@securesoftcorp.com

Colombia:
Consultas técnicas: monitoreo_co@securesoftcorp.com
Consultas comerciales: ventas_co@securesoftcorp.com

Chile:
Consultas técnicas: monitoreo_cl@securesoftcorp.com
Consultas comerciales: ventas_cl@securesoftcorp.com

​​​​​​​