Google ha lanzado una actualización de Chrome 103 para ordenadores de sobremesa de Windows que corrige un fallo en su implementación de WebRTC, que advierte que ya está siendo atacado.
El problema que aborda la actualización 103.0.5060.114 de Chrome para Windows es un «desbordamiento del búfer de la pila en WebRTC», en referencia a cuando el búfer asignado en la parte de la memoria de la pila puede ser sobrescrito con fines nefastos.
WebRTC es el estándar web abierto para construir aplicaciones de vídeo y voz para comunicaciones en tiempo real (RTC). Se habilita mediante JavaScript en el navegador y el estándar es compatible con los principales proveedores de navegadores.
Google no ha ofrecido detalle sobre el fallo, aparte de que se le ha asignado el identificador CVE-2022-2294, tiene una calificación de gravedad «alta» y que Jan Vojtesek, del equipo de Avast Threat Intelligence, informó a Google el 1 de julio.
Sin embargo, reconoció que hay un exploit para ello circulando en el público.
Google también ha publicado una solución para el mismo fallo de WebRTC en Chrome para Android.
La compañía no brindará detalles sobre los fallos, hasta que la mayoría de los usuarios se actualizan con una solución. También podría retener las restricciones si el fallo existe en una biblioteca de terceros de la que dependen otros proyectos de forma similar, pero que aún no se ha corregido.
La actualización también corrige otros dos fallos de alta gravedad. El CVE-2022-2295 es una confusión de tipos en el motor JavaScrip V8 de Chrome, mientras que el CVE-2022-2296 es un problema de memoria «use after free» en Chrome OS Shell.
Hasta el 15 de junio, el proyecto de seguridad de Google, Google Project Zero (GPZ), había contabilizado 18 días cero este año que habían sido explotados en la naturaleza. Dos de los 18 0-days afectaban a Chrome.
Con información de Europa Press.