Los expertos en seguridad descubren nuevo exploit en Chrome

CVE-2022-4135 es una vulnerabilidad de desbordamiento del búfer de la pila que existe en la GPU y tiene el potencial de permitir la ejecución de código arbitrario, dar a los actores maliciosos con acceso no autorizado a la información, o causar la inestabilidad del software.

En una versión relativamente reciente del canal estable, el TAG de Google pudo identificar la vulnerabilidad. Los canales estables de Mac y Linux en 107.0.5304.121 y los de Windows en 107.0.5304.121/.122 han sido actualizados por los desarrolladores de Google. Los registros de lanzamiento de Chromium incluyen tanto información actualizada como notas de lanzamiento.

Los atacantes tienen la capacidad de utilizar el desbordamiento de memoria para redirigir las referencias de un software que está funcionando bien a un código malicioso. Esta circunstancia se produce como consecuencia directa de un desbordamiento de memoria intermedia (heap buffer).

La decisión tomada por Google de retener los datos del exploit es coherente con la práctica de la industria y tiene como objetivo disminuir el uso y el impacto de la vulnerabilidad. Los consumidores disponen de tiempo adicional para aplicar parches a sus navegadores y actualizarlos cuando se retrasa el anuncio de la vulnerabilidad. También da a los programadores de bibliotecas de terceros la oportunidad de parchear la vulnerabilidad, lo que reduce la probabilidad de que sea explotada.

Los usuarios de Chrome deberían asegurarse de que sus navegadores están actualizados y estar atentos a las actualizaciones de otros navegadores basados en Chromium.