Chrome emite una solución urgente de día cero: ¡actualice ahora!

Google lanzó un montón de correcciones de seguridad para el código del navegador Chrome y Chromium a principios de esta semana...

…solo para recibir un informe de vulnerabilidad de los investigadores de la empresa de ciberseguridad Avast el mismo día.

La respuesta de Google fue expulsar otra actualización tan pronto como pudo: una corrección de un error que se ocupa de CVE-2022-3723, descrito con el habitual legalismo de Google que no podemos ni confirmar ni negar diciendo:

Google está al tanto de los informes de que existe un exploit para CVE-2022-3723 en la naturaleza.

(Apple también usa regularmente un sabor similarmente desconectado de la notificación OMG-todos-hay-un-día-0, usando palabras en el sentido de que "está al tanto de un informe de que [un] problema puede haber sido explotado activamente").

Esta actualización de Chrome significa que ahora está buscando un número de versión de 107.0.5304.87 o después.

Confusamente, ese es el número de versión que se espera en Mac o Linux, mientras que los usuarios de Windows pueden obtener 107.0.5304.87 or 107.0.5304.88, y no, no sabemos por qué hay dos números diferentes allí.

Por lo que vale, la causa de este agujero de seguridad se describió como “confusión de tipo en V8”, que en la jerga significa "hubo un error explotable en el motor de JavaScript que podría ser activado por código no confiable y datos no confiables que llegaron aparentemente de manera inocente desde el exterior".

Hablando en términos generales, eso significa que es casi seguro que simplemente visitar y ver un sitio web con trampas explosivas, algo que se supone que no debe ponerlo en peligro por sí solo, podría ser suficiente para iniciar un código malicioso e implantar malware en su dispositivo, sin ventanas emergentes. u otras advertencias de descarga.

Eso es lo que se conoce en la jerga del cibercrimen como instalación automática.

“Al tanto de los informes”

Suponemos, dado que una empresa de ciberseguridad informó esta vulnerabilidad y dada la publicación casi inmediata de una actualización de un error, que la falla se descubrió en el curso de una investigación activa sobre una intrusión en la computadora o red de un cliente.

Después de un robo inesperado o inusual, donde las rutas de entrada obvias simplemente no aparecen en los registros, los cazadores de amenazas generalmente recurren a los detalles arenosos de los registros de detección y respuesta a su disposición, intentando reconstruir el sistema. nivel de detalles de lo que sucedió.

Dado que los exploits de ejecución remota de código del navegador (RCE) a menudo implican ejecutar código no confiable que proviene de una fuente no confiable de una manera inesperada, y lanza un nuevo hilo de ejecución que normalmente no aparecería en los registros...

…el acceso a datos forenses de “respuesta a amenazas” lo suficientemente detallados puede no solo revelar cómo ingresaron los delincuentes, sino también exactamente dónde y cómo en el sistema pudieron eludir las protecciones de seguridad que normalmente existirían.

En pocas palabras, trabajar hacia atrás en un entorno en el que puede reproducir un ataque una y otra vez y observar cómo se desarrolla, a menudo revelará la ubicación, si no el funcionamiento exacto, de una vulnerabilidad explotable.

Y, como puede imaginar, sacar una aguja de un pajar de forma segura es mucho, mucho más fácil si tiene un mapa de todos los objetos metálicos puntiagudos en el pajar para empezar.

En resumen, lo que queremos decir es que cuando Google dice "está al tanto de los informes" de un ataque lanzado al explotar Chrome en la vida real, estamos listos para asumir que puede traducir esto en "el error es real y realmente puede ser explotado, pero debido a que en realidad no investigamos el sistema pirateado en la vida real nosotros mismos, todavía estamos en terreno seguro si no vamos directamente y decimos: 'Hola a todos, es un día 0'. ”

La buena noticia sobre los descubrimientos de errores de este tipo es que probablemente se desarrollaron de esta manera porque los atacantes querían mantener en secreto tanto la vulnerabilidad como los trucos necesarios para explotarla, sabiendo que presumir de la técnica o usarla demasiado aceleraría su descubrimiento y así acortar su valor en ataques dirigidos.

Los exploits RCE del navegador de hoy en día pueden ser endiabladamente complejos de descubrir y costosos de adquirir, considerando el esfuerzo que organizaciones como Mozilla, Microsoft, Apple y Google ponen para fortalecer sus navegadores contra los trucos de ejecución de código no deseados.

En otras palabras, el rápido tiempo de aplicación de parches de Google y el hecho de que la mayoría de los usuarios recibirán la actualización rápida y automáticamente (o al menos de forma semiautomática), significa que el resto de nosotros ahora no solo podemos ponernos al día con los ladrones, sino también regresar. delante de ellos.

¿Qué hacer?

Aunque es probable que Chrome se actualice solo, siempre recomendamos verificar de todos modos.

Como se mencionó anteriormente, usted está buscando 107.0.5304.87 (Mac y Linux), o uno de 107.0.5304.87 y 107.0.5304.88 (Windows)

Uso Más > Ayuda > Acerca de Google Chrome > Actualizar Google Chrome.

El sabor Chromium de código abierto del navegador, al menos en Linux, también se encuentra actualmente en la versión 107.0.5304.87.

(Si usa Chromium en Linux o uno de los BSD, es posible que deba volver a consultar con su fabricante de distribución para obtener la última versión).

No estamos seguros de si la versión de Android de Chrome se ve afectada y, de ser así, qué número de versión buscar.

Puede ver los próximos anuncios de actualización para Android en Google's Lanzamientos de Chrome blog.

Suponemos que los navegadores basados ​​en Chrome en iOS y iPadOS no se ven afectados, porque todos los navegadores de la App Store de Apple están obligados a usar el subsistema de navegación WebKit de Apple, que no usa el motor JavaScript V8 de Google.

Curiosamente, en el momento de escribir [2022-10-29T14:00:00Z], las notas de lanzamiento de Microsoft para Edge describían una actualización con fecha 2022-10-27 (dos días después de que los investigadores informaran sobre este error), pero no enumere CVE-2022-3723 como una de las correcciones de seguridad en esa compilación, que estaba numerada 107.0.1418.24.

Por lo tanto, asumimos que buscar cualquier versión de Edge superior a esta indicará que Microsoft ha publicado una actualización contra este agujero.

Puede vigilar los parches de Edge a través de Microsoft Actualizaciones de seguridad perimetral .

---