CVE-2022-0108: Fuga de Datos Cross-Origin en Google Chrome
Plataforma
chrome
Componente
google-chrome
Corregido en
97.0.4692.71
La vulnerabilidad CVE-2022-0108 afecta a Google Chrome, específicamente a su componente de navegación. Esta falla permite a un atacante remoto, mediante una página HTML especialmente diseñada, filtrar datos de origen cruzado, comprometiendo la confidencialidad de la información. La vulnerabilidad se encuentra presente en versiones de Google Chrome anteriores a 97.0.4692.71. Google ha lanzado una actualización para corregir esta vulnerabilidad.
Impacto y Escenarios de Ataque
Un atacante podría explotar esta vulnerabilidad para acceder a información sensible que normalmente estaría protegida por políticas de mismo origen. Esto podría incluir cookies, tokens de autenticación, datos de formularios y otros datos confidenciales almacenados en el navegador. La fuga de datos cross-origin podría permitir al atacante suplantar la identidad del usuario, acceder a cuentas protegidas o realizar otras acciones maliciosas en nombre del usuario. Aunque la explotación requiere la creación de una página HTML maliciosa, la naturaleza ubicua de la navegación web hace que esta vulnerabilidad sea potencialmente de gran alcance. La gravedad de la fuga de datos depende del tipo de información expuesta y del contexto de la aplicación web.
Contexto de Explotación
La vulnerabilidad CVE-2022-0108 fue publicada el 11 de febrero de 2022. No se ha reportado su explotación activa en campañas conocidas. La probabilidad de explotación se considera baja, dado que requiere la creación de una página HTML maliciosa y la interacción del usuario con ella. La vulnerabilidad se encuentra en la base de datos NVD (National Vulnerability Database) y ha sido notificada a CISA (Cybersecurity and Infrastructure Security Agency).
Inteligencia de Amenazas
Estado del Exploit
EPSS
0.33% (56% percentil)
Software Afectado
Cronología
- Reservado
- Publicada
- Modificada
- EPSS actualizado
Mitigación y Workarounds
La mitigación principal para CVE-2022-0108 es actualizar a la versión 97.0.4692.71 o posterior de Google Chrome. Si la actualización inmediata no es posible, se recomienda revisar el código fuente de las aplicaciones web para identificar posibles puntos de fuga de datos y aplicar parches. Implementar políticas de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de la vulnerabilidad al restringir las fuentes de contenido que el navegador puede cargar. Monitorear los registros del navegador en busca de patrones de comportamiento sospechosos también puede ayudar a detectar intentos de explotación.
Cómo corregirlotraduciendo…
Actualice Google Chrome a la versión 97.0.4692.71 o superior. La actualización se puede realizar a través de la configuración del navegador o descargando la última versión desde el sitio web oficial de Google Chrome.
Preguntas frecuentes
What is CVE-2022-0108 — Cross-Origin Data Leak in Google Chrome?
CVE-2022-0108 es una vulnerabilidad que permite a un atacante filtrar datos de origen cruzado en Google Chrome debido a una implementación incorrecta en el componente Navigation. Afecta a versiones anteriores a 97.0.4692.71.
Am I affected by CVE-2022-0108 in Google Chrome?
Sí, si está utilizando una versión de Google Chrome anterior a 97.0.4692.71, es vulnerable a esta vulnerabilidad. Verifique su versión y actualice lo antes posible.
How do I fix CVE-2022-0108 in Google Chrome?
La solución es actualizar Google Chrome a la versión 97.0.4692.71 o posterior. La actualización se realiza automáticamente en la mayoría de los casos, pero puede ser necesario verificar manualmente.
Is CVE-2022-0108 being actively exploited?
Hasta el momento, no se han reportado casos de explotación activa de CVE-2022-0108 en campañas conocidas, aunque la posibilidad existe.
Where can I find the official Google advisory for CVE-2022-0108?
Puede encontrar la información oficial en el blog de seguridad de Google: https://security.googleblog.com/2022/02/stable-channel-update-for-chrome.html
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...