Sólo dos días después de una actualización anteriorGoogle envió una actualización de Chrome de emergencia el viernes pasado para hacer frente a una vulnerabilidad de día cero que es ya está siendo explotado en la naturaleza. Si usa Chrome, el proceso de actualización es automático; solo necesitas reiniciar tu navegador cuando te pida que surta efecto. Los usuarios de otros navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi también deben estar atentos a una actualización. Google mantiene las cosas en secreto por razones de seguridad, pero esto es lo que sabemos.
La vulnerabilidad, llamada pegadiza CVE-2022-3075-estaba solo llamó la atención de Google el 30 de agosto por un investigador de seguridad anónimo. Que la compañía haya lanzado una actualización de seguridad de emergencia el 2 de septiembre dice mucho sobre la gravedad del problema subyacente. La actualización anterior, lanzada coincidentemente el 30 de agosto, solucionó 24 problemas de seguridad, incluido un día cero crítico diferente, por lo que es un gran problema que Google sintiera la necesidad de lanzar una actualización para abordar una sola vulnerabilidad de inmediato. Este fue el sexto día cero que Google parcheó este año.
Según Google, CVE-2022-3075 se refiere a “validación de datos insuficiente en Mojo”, una colección de importantes rutinas de bajo nivel en Chromium, que es el motor de navegación que utiliza Google Chrome. Está catalogada como una vulnerabilidad “crítica”, lo que esencialmente significa que es probable que un atacante que la explote pueda comprometer significativamente su navegador o computadora. Dependiendo de la vulnerabilidad, esto podría significar cosas como poder robar contraseñas o detalles de tarjetas de crédito, instalar malware en su sistema y, de lo contrario, hacer cosas muy desagradables. Estos son el tipo de exploits que usan los piratas informáticos en las películas (o que trabajan para los gobiernos nacionales).
[Related: You need to protect yourself from zero-click attacks]
Por ahora, Google mantiene en secreto muchos detalles sobre la vulnerabilidad hasta que una parte sustancial de la base de usuarios de Chrome esté a salvo de la explotación. Si se usa en la naturaleza, Google no quiere resaltar su utilidad para los malos actores. los pago de recompensas por errores para el investigador anónimo tampoco ha sido anunciado, pero podría ser de hasta $150,000.
[Related: ‘The Merge’ is happening. Here’s what that means for those in crypto.]
Esta actualización de emergencia, que actualiza Chrome a la versión 105.0.5195.102 en Windows, Mac y Linux, se implementó en los últimos días. Puede verificar qué versión de Chrome está usando actualmente yendo a Más (los tres puntitos) > Ayuda > Acerca de Chrome. Las actualizaciones deben descargarse automáticamente, pero debe reiniciar su navegador para que se instale por completo. Si ve el botón Actualizar en la esquina superior derecha de su navegador, haga clic en él. Esta es una actualización de seguridad seria y vale la pena instalarla de inmediato.
Si usa otros navegadores basados en Chromium como Microsoft Edge, Brave, Opera y Vivaldi, también debe actualizarlo lo antes posible. Los cuatro tienen actualizaciones disponibles que evitan el exploit.