O Google lançou um patch para o Chrome que corrige um dia zero. Uma exploração de trabalho existia, mas com que frequência ela foi explorada e o que o bug realmente implica é desconhecido.
O Google lançou a atualização 104.0.5112.102/101 para Chrome para Windows e 104.0.5112.101 para macOS e Linux como uma versão estável. A empresa escreve em um post no blog que onze vulnerabilidades no navegador foram corrigidas. Seis deles são use-after-freebugs no FedCm, SwiftShader, Angle, Blink, Shell e Sign-in Flow. Também há aplicação de política incorreta na funcionalidade de Cookies do navegador. As vulnerabilidades foram sugeridas por pesquisadores de segurança de terceiros e em dois casos pelo próprio departamento de segurança do Project Zero do Google.
Um dos bugs, CVE-2022-2856, é um dia zero. “O Google está ciente de que existe uma exploração do CVE-2022-2856 em estado selvagem”, escreveu a empresa, mas não forneceu detalhes. Não se sabe se essa exploração está realmente sendo abusada e em quantos casos esse é o caso. Os detalhes sobre a vulnerabilidade são incompletos; O Google chama isso de validação insuficiente de entrada não confiável em Intents, mas não fornece mais detalhes sobre isso. A vulnerabilidade foi encontrada por um funcionário do próprio Grupo de Análise de Ameaças do Google, uma divisão de segurança separada.