Google anunció el martes la publicación de 26 parches de seguridad como parte de su última actualización de Chrome, incluido uno para un fallo de gravedad crítica.
Un total de 22 vulnerabilidades abordadas con la última actualización de Chrome fueron reportadas por investigadores externos, incluyendo una de gravedad crítica, 16 de gravedad alta y cinco de gravedad media.
Se han notificado externamente 12 errores de uso, que afectan a la navegación segura, el aislamiento de sitios, el empaquetado web, Omnibox, la impresión, Vulkan, la programación, el editor de métodos de entrada de texto, los marcadores, la guía de optimización y la transferencia de datos.
El más importante de estos errores de seguridad es el CVE-2022-0289, un fallo crítico de tipo "use-after-free" en Modo Seguro que podría ser explotado para lograr la ejecución de código arbitrario. El fallo fue encontrado por Sergei Glazunov, de Google Project Zero.
Glazunov también identificó dos vulnerabilidades de alta gravedad en Chrome, incluyendo un problema de "use-after-free" en "Aislamiento del sitio" que se rastrea como CVE-2022-0290 (el mismo error también fue descubierto por Brendon Tiszka) y un defecto de desbordamiento del búfer de la pila en PDFium, rastreado como CVE-2022-0306.
El resto de las vulnerabilidades de gravedad alta incluyen ocho errores de "use-after-free", cuatro problemas de implementación inadecuada, un desbordamiento del búfer de la pila y una condición de carrera.
Los cinco defectos de seguridad de gravedad media corregidos con la última versión de Chrome 97 incluyen dos problemas de uso "use-after-free", un error de implementación inadecuado y dos vulnerabilidades de desbordamiento del búfer de la pila.
Google afirma haber pagado hasta la fecha 108.000 dólares en recompensas por errores a los investigadores que han informado, pero el gigante de Internet aún no ha determinado los importes de las recompensas por nueve de las vulnerabilidades parcheadas.
La última versión de Chrome ya está disponible para los usuarios de escritorio (Windows, macOS y Linux) en la versión 97.0.4692.99.