VULNERABILIDAD DE DIA CERO EN GOOGLE CHROME, DESBORDAMIENTO DEL BÚFER EN GPU

Google envió parches de emergencia para su navegador web Chrome el jueves para corregir un agujero de seguridad que según la compañía se está utilizando en la naturaleza.
Google llamó a la vulnerabilidad de alto riesgo un desbordamiento del búfer de acomulación (montón) en la GPU y le dio el número CVE-2022-4135. Se dice que el 22 de noviembre de 2022 Clement Lecigne del Grupo de análisis de amenazas de Google encontró la vulnerabilidad y se lo contó a Google.

Es común que los desbordamientos de búfer puedan utilizarse para ejecutar código arbitrario que a menudo está fuera del alcance de la política de seguridad implícita de un programa. Los desbordamientos basados en montón no solo se pueden usar para acceder a datos confidenciales del usuario, sino que también se pueden usar para reemplazar punteros de función que pueden residir en la memoria, que luego dirige la ejecución al código malicioso del atacante. Incluso en programas que no emplean abiertamente punteros de función, el tiempo de ejecución a menudo dejará un gran número de ellos en la memoria. Una situación de desbordamiento de búfer se conoce como condición de desbordamiento de montón cuando el búfer que se puede sobrescribir se asigna en la sección de memoria de montón. Esto suele indicar que el búfer se creó con la ayuda de una función como malloc(). Debido a la vulnerabilidad un hacker que ya había obtenido el control del proceso de renderizado teóricamente podría escapar de la zona de pruebas mediante el uso de una página HTML especialmente construida.

Google dijo en una alerta: “Google sabe que existe un exploit para CVE-2022-4135 en el campo”, sin proporcionar ningún otro detalle sobre cómo se explotó la vulnerabilidad de seguridad en los ataques o quién pudo haberla convertido en arma.

Google ha proporcionado una actualización de seguridad urgente para parchear esta vulnerabilidad con el fin de garantizar la seguridad del usuario; el número de versión relevante para Mac, Linux y Windows es Google Chrome 107.0.5304.121/.122.

Los usuarios de Google Chrome pueden usar la página Acerca de en la configuración para ver el número de versión actual y buscar actualizaciones automáticamente. El paquete de instalación en línea puede actualizarse automáticamente si el usuario lo instala. El usuario debe descargar manualmente la última versión para actualizar si utiliza el paquete de instalación fuera de línea. Tan pronto como las soluciones estén disponibles, se recomienda a los usuarios de navegadores basados ​​en Chromium, incluidos Microsoft Edge, Brave, Opera y Vivaldi, que las instalen.