Google ha parcheado la quinta vulnerabilidad de día cero explotada activamente descubierta en Chrome este año como una de una serie de correcciones incluidas en una actualización de canal estable lanzada el miércoles.
El error, rastreado como CVE-2022-2856 y calificado como alto en el Sistema de puntuación de vulnerabilidad común (CVSS), está asociado con "validación insuficiente de entrada no confiable en Intents", según el aviso publicado por Google.
Google le da crédito a Ashley Shen y Christian Resell de su Google Threat Analysis Group (TAG) por informar el error de día cero, que podría permitir la ejecución de código arbitrario, el 19 de julio. El aviso también reveló otros 10 parches para varios otros problemas de Chrome.
Las intenciones son una función de vinculación profunda en el dispositivo Android dentro del navegador Chrome que reemplazó los esquemas URI, que anteriormente manejaban este proceso. según rama, una empresa que ofrece diversas opciones de enlace para aplicaciones móviles.
“En lugar de asignar window.location o iframe.src al esquema de URI, en Chrome, los desarrolladores deben usar su cadena de intención como se define en este documento”, explicó la compañía en su sitio web. La intención "agrega complejidad" pero "maneja automáticamente el caso de que la aplicación móvil no se instale" dentro de los enlaces, según la publicación.
La validación insuficiente está asociada con la validación de entrada, una técnica de uso frecuente para verificar entradas potencialmente peligrosas para garantizar que sean seguras para el procesamiento dentro del código, o cuando se comunican con otros componentes. según el sitio de Enumeración de Debilidades Comunes de MITRE.
“Cuando el software no valida la entrada correctamente, un atacante puede crear la entrada en una forma que el resto de la aplicación no espera”, según una publicación en el sitio. “Esto dará lugar a que partes del sistema reciban entradas no deseadas, lo que puede resultar en un flujo de control alterado, control arbitrario de un recurso o ejecución de código arbitrario”.
Defenderse de las hazañas
Como es típico, Google no reveló detalles específicos del error hasta que se corrigió ampliamente para evitar que los actores de amenazas se aprovechen más de él, una estrategia que un profesional de seguridad señaló como sabia.
“Publicar detalles sobre una vulnerabilidad de día cero explotada activamente justo cuando un parche está disponible podría tener consecuencias nefastas, porque lleva tiempo implementar actualizaciones de seguridad en sistemas vulnerables y los atacantes se esfuerzan por explotar este tipo de fallas”, observó. Satnam Narang, ingeniero senior de investigación del personal de la firma de seguridad cibernética Sostenible, en un correo electrónico a Threatpost.
La retención de información también es buena dado que otras distribuciones y navegadores de Linux, como Microsoft Edge, también incluyen código basado en el Proyecto Chromium de Google. Todo esto podría verse afectado si se lanza un exploit para una vulnerabilidad, dijo.
“Es extremadamente valioso para los defensores tener ese amortiguador”, agregó Narang.
Si bien la mayoría de las correcciones en la actualización son para vulnerabilidades clasificadas como de riesgo alto o medio, Google corrigió un error crítico rastreado como CVE-2022-2852, un problema de uso después de liberación en FedCM informado por Sergei Glazunov de Google Project Zero el 8 de agosto. FedCM, abreviatura de Federated Credential Management API, proporciona una abstracción específica de caso de uso para flujos de identidad federada en la web, según Google.
Quinto parche Chrome 0Day hasta ahora
El parche de día cero es el quinto error de Chrome bajo ataque activo que Google ha parcheado en lo que va del año.
En julio, la empresa fijó un falla de desbordamiento de búfer de pila explotada activamente rastreado como CVE-2022-2294 en WebRTC, el motor que le da a Chrome su capacidad de comunicaciones en tiempo real, mientras que en mayo fue una falla de desbordamiento de búfer separada rastreada como CVE-2022-2294 y bajo ataque activo que fue abofeteado con un parche.
En abril, Google parchó CVE-2022-1364, una falla de confusión de tipos que afecta el uso de Chrome del motor JavaScript V8 en el que los atacantes ya se habían abalanzado. El mes anterior, un problema separado de confusión de tipos en V8 se registró como CVE-2022-1096 y bajo ataque activo también estimuló un parche apresurado.
Febrero vio una solución para el primero de los días cero de Chrome de este año, una falla de uso después de libre en el componente de animación de Chrome rastreado como CVE-2022-0609 eso ya estaba bajo ataque. Luego fue revelado que los piratas informáticos de Corea del Norte estaban explotando la falla semanas antes de que fuera descubierta y reparada.
