Google publicó actualizaciones para el navegador web Chrome de la compañía el pasado día 24 de Mayo del 2022. Las actualizaciones de la versión de escritorio abordan problemas de seguridad en el navegador web.

El equipo de Chrome se complace en anunciar la promoción de Chrome 102 al canal estable para Windows (102.0.5005.61/62/63), 102.0.5005.61 para Mac y Linux. Chrome 102 también ha sido promovido a el nuevo canal estable ampliado para Windows y Mac. Esto se extenderá en los próximos días/semanas.

Chrome 102 para sistemas de escritorio y sistemas móviles ya está disponible. Google despliega las actualizaciones a lo largo del tiempo para toda la población. Los usuarios de computadoras de escritorio que utilizan Chrome pueden acelerar la instalación de la actualización para parchear los problemas de seguridad antes de actualizarse automáticamente.

Para realizar la actualización manual debe seleccionar Menú > Ayuda > Acerca de Chrome (Menu > Help > About Chrome), se muestra la versión del navegador que está instalada. Chrome ejecuta una comprobación de actualizaciones cuando se abre la página; debería recoger la nueva versión e instalarla automáticamente.

Las actualizaciones de Chrome en Android dependen de Google Play, lo que significa que no hay ninguna opción para acelerar la actualización en Android.

Google no menciona las correcciones de problemas de seguridad en las versiones de Android e iOS del navegador web.

Chrome 102: correcciones de seguridad

Google Chrome 102 está disponible como versión estable del canal y como versión estable ampliada del canal. Las versiones estables se actualizan cada 4 semanas y las versiones estables ampliadas cada 8 semanas.

La actualización incluye un total de 32 correcciones de seguridad. Uno de los problemas tiene la calificación más alta de gravedad, crítica, y varios otros una calificación alta.

Estos son los detalles de las vulnerabilidades más importantes que han sido corregidas por esta actualización de seguridad.

  • CVE-2022-1853 es una vulnerabilidad de tipo «uso después de libre» (use after free), de categoría crítica que afecta a IndexedDB, una función que permite el acceso rápido a datos estructurados.
  • CVE-2022-1854 es una vulnerabilidad de tipo «uso después de libre» en la capa de abstracción del motor gráfico ANGLE.
  • CVE-2022-1855 es una vulnerabilidad de alta calificación «uso después de libre» en la mensajería.
  • CVE-2022-1856 es una vulnerabilidad «uso después de libre» de alta calificación en la función de educación del usuario.
  • CVE-2022-1857 es una vulnerabilidad de alta calificación relativa a la aplicación insuficiente de políticas en la API del sistema de archivos.
  • CVE-2022-1858 es una vulnerabilidad de alta calificación «fuera de los límites « (out of bounds), que afecta a DevTools.
  • CVE-2022-1859 es otra vulnerabilidad de alta calificación «uso después de libre», esta vez dentro del gestor de rendimiento.
  • CVE-2022-1860 es otra vulnerabilidad de alta calificación » uso después de libre», esta vez dentro de UI foundations.
  • CVE-2022-1861 redondea las vulnerabilidades de alta calificación, una de «uso después de libre» que afecta a la compartición.

Los detalles de las vulnerabilidades de menor gravedad son los siguientes:

  • (CVE-2022-1862) Implementación inadecuada en las Extensions (Extensiones).
  • (CVE-2022-1863) «Uso después de libre», en Tab Groups (Grupos de Pestañas).
  • (CVE-2022-1864) «Uso después de libre» en WebApp Installs (Instalaciones de Aplicaciones Web).
  • (CVE-2022-1865) «Uso después de libre» en Bookmarks (Marcadores).
  • (CVE-2022-1866) «Uso después de libre» en el Tablet Mode (Modo Tableta).
  • (CVE-2022-1867) Validación insuficiente de entradas no confiables en Data Transfer (Transferencia de Datos).
  • (CVE-2022-1868) Implementación inadecuada en la Extensions API (API de Extensiones).
  • (CVE-2022-1869) Confusión de tipos en V8.
  • (CVE-2022-1870) Uso después de libre en App Service.
  • (CVE-2022-1871) Aplicación insuficiente de políticas en la File System API (API del Sistema de Archivos).
  • (CVE-2022-1872) Aplicación insuficiente de políticas en la Extensions API (API de Extensiones).
  • (CVE-2022-1873) Aplicación insuficiente de políticas en COOP.
  • (CVE-2022-1874) Aplicación insuficiente de políticas en la Safe Browsing (Navegación Segura).
  • (CVE-2022-1875) Implementación inadecuada en PDF.
  • (CVE-2022-1876) Desbordamiento del búfer Heap en DevTools.

Recomendamos que se tomen las medidas siguientes:

  • Los usuarios del navegador web Chrome deberían actualizarse rápidamente a la última versión para proteger sus navegadores contra posibles ataques dirigidos a las nuevas vulnerabilidades. Aplicando la actualización del canal estable proporcionado por Google a los sistemas vulnerables inmediatamente después de realizar las pruebas pertinentes.
  • Se les recuerda a los usuarios que no deben visitar sitios web no fiables ni seguir enlaces proporcionados por fuentes desconocidas o no fiables. Los usuarios deben estar informados sobre las amenazas que suponen los enlaces de hipertexto contenidos en correos electrónicos o archivos adjuntos, especialmente los procedentes de fuentes no fiables.
  • Aplique el principio de mínimo privilegio a todos los sistemas y servicios. Ejecute todo el software como un usuario sin privilegios (uno sin privilegios administrativos) para disminuir los efectos de un ataque exitoso.
  • Establecer y mantener programas de seguridad informática (antivirus, firewalls).
  • Mantener actualizados todos los programas instalados en las PCs.

Google no menciona los ataques «in the wild» (léase: activo en el mundo real).

Chrome 102: mejoras y funciones

Google enumera 12 funciones que se han añadido, eliminado o mejorado en Chrome 102 en el sitio web Chrome Status. La mayoría de los cambios son de interés sólo para los desarrolladores.

  • Añadir la Indicación de Guardar Datos del Cliente
  • AudioContext.outputLatency
  • Llamada a PaymentRequest.show sin activación del usuario
  • Manipulación de la Captura
  • Manejo de Archivos
  • Redirección HTTP->HTTPS para registros DNS HTTPS
  • API de navegación
  • Extensión del sistema de Archivos Privados de Origen: AccessHandle
  • API de Confirmación de Pago Seguro V3
  • Opción WebHID exclusionFilters en requestDevice()
  • [WebRTC] Desaprobación y eliminación del plan B
  • atributo inerte

Las descripciones de los cambios están disponibles en el sitio web de Chrome Status.

Fuentes: GH, CIS