9VSA22-00617-01 CSIRT advierte ante nuevas vulnerabilidades en Google Chrome
El CSIRT de Gobierno comparte nuevas vulnerabilidades comunicadas por Google para su navegador Chrome.
Resumen
El Equipo de Respuesta ante Incidentes de Seguridad Informática del Gobierno de Chile, CSIRT de Gobierno, comparte nuevas vulnerabilidades comunicadas por Google para su navegador Chrome.
Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.
Vulnerabilidades
CVE-2022-1305
CVE-2022-1306
CVE-2022-1307
CVE-2022-1308
CVE-2022-1309
CVE-2022-1310
CVE-2022-1311
CVE-2022-1312
CVE-2022-1313
CVE-2022-1314
Impacto
Vulnerabilidades calificadas como de riesgo alto:
CVE-2022-1305 y CVE-2022-1312: Estas vulnerabilidades existen debido a un error de uso de memoria luego de ser liberada en el componente Storage en Google Chrome. Un atacante remoto puede crear una página web, engañar a su víctima para que haga clic, detonar el error y ejecutar código arbitrario en su sistema, comprometiéndolo.
CVE-2022-1308: Esta vulnerabilidad existe debido a un error de uso de memoria luego de ser liberada en el componente BFCache en Google Chrome. Un atacante remoto puede crear una página web, engañar a su víctima para que haga clic, detonar el error y ejecutar código arbitrario en su sistema, comprometiéndolo.
CVE-2022-1309: Esta vulnerabilidad existe debido a un cumplimiento insuficiente de políticas en Developers Tools en Google Chrome. Permite a un atacante evadir las restricciones de seguridad implementadas. Un atacante puede engañar a la víctima para que visite un sitio especialmente diseñado, evadir las medidas de seguridad implementadas y comprometer el sistema afectado.
CVE-2022-1310: Esta vulnerabilidad existe debido a un error de uso de memoria luego de ser liberada en el componente Regular Expressions en Google Chrome. Un atacante remoto puede crear una página web, engañar a su víctima para que haga clic, detonar el error y ejecutar código arbitrario en su sistema, comprometiéndolo.
CVE-2022-1310: Esta vulnerabilidad existe debido a un error de uso de memoria luego de ser liberada en el componente Chrome Shell en Google Chrome. Un atacante remoto puede crear una página web, engañar a su víctima para que haga clic, detonar el error y ejecutar código arbitrario en su sistema, comprometiéndolo.
Productos afectados
Google Chrome: 70.0.3538.67 a 100.0.4896.75
Mitigación
Instalar las respectivas actualizaciones entregadas por el proveedor.
Enlaces
https://chromereleases.googleblog.com/2022/04/stable-channel-update-for-desktop_11.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1305
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1306
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1307
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1308
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1309
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1310
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1311
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1312
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1313
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-1314
Informe
El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA22-00617-01.