Google revela 30 vulnerabilidades en Chrome y urge a actualizarlo en Windows, MacOS y Linux

Google ha lanzado esta semana una nueva versión de su navegador Chrome para escritorio y ha alertado de la necesidad de proceder a su actualización debido a que parchea treinta vulnerabilidades, siete de ellas calificadas como de riesgo alto. En una publicación en su blog, la compañía ha anunciado el despliegue de la versión 101.0.4951.41 para Windows, MacOS y Linux con las correcciones de seguridad que las solucionan. En las actualizaciones del navegador que Google ha lanzado esta semana para Android (estable) e iOS (beta), no se hace ninguna referencia a estos fallos de seguridad.

La empresa no ha facilitado detalles sobre las vulnerabilidades ni lo hará hasta que la mayoría de usuarios hayan actualizado su navegador, un proceso que se alargará durante “los próximos días/semanas”.

Tampoco las ha revelado todas, sino las 25 que han sido descubiertas por investigadores de seguridad externos que participan en el programa de seguridad de Chrome. Este programa recompensa económicamente a quienes encuentran brechas de seguridad en el navegador que usan más de 2.600 millones de personas en el mundo. La mayoría han sido reportadas en los primeros meses de este año, aunque tres corresponden a 2021 y una a 2019. Se desconoce la gravedad de las cinco sobre las Google no ha facilitado ningún detalle.

Entre los siete fallos calificados como de riesgo alto, cinco hacen a Chrome vulnerable a ataques del tipo UAF (“Use After Free”) a través de diversos componentes de “software”, otro a un ataque a través de una implementación inapropiada de la API WebGL y el último a uno realizado a través del desbordamiento del búfer de pila con la API WebGPU.

El investigador SeongHwan Park ha sido quien ha recibido la recompensa más alta de Google, 10.000 dólares, por haber descubierto la vulnerabilidad CVE-2022-1477 que permite un ataque UAF a través de la Api de gráficos 3D Vulkan. Este tipo de ataque está relacionado con el uso incorrecto de la memoria dinámica por un programa y se produce cuando tras liberar espacio en ella, el “software” no elimina el indicador a ese espacio, error que un atacante puede aprovechar. Las vulnerabilidades de tipo UAF calificadas como de riesgo alto afectan también al renderizador 3D SwiftShader, el “backend” Angle WebGL, la API de dispositivo y el componente Sharing. Los ataques UAF afectan a 11 de las 25 vulnerabilidades publicadas por Google y es un método con el que se consiguió romper la seguridad de Chrome en 65 ocasiones durante 2022, según cálculos de Forbes.

Para comprobar si Chrome ha recibido la actualización, el usuario debe hacer clic en el icono de los tres puntos en la esquina superior derecha, seleccionar Ayuda y a continuación Información de Google Chrome. Si todavía no se actualizado, Chrome comprobará de forma automática si ya está disponible una nueva versión para actualizarse.