O Google lançou recentemente uma atualização de segurança para o navegador Chrome, visando corrigir a quinta vulnerabilidade de zero-day detectada desde o início do ano.
Identificada como CVE-2024-4671, esta falha crítica é categorizada como uma vulnerabilidade de "uso após liberação" no componente Visual, responsável pela renderização e exibição de conteúdo no navegador.
Segundo informações divulgadas pelo Google, a vulnerabilidade foi descoberta e reportada por um pesquisador anônimo, e já foi explorada em ataques.
Falhas de uso após liberação ocorrem quando um programa continua a acessar um ponteiro de memória após esta ter sido liberada, o que pode resultar em vazamento de dados, execução de código ou falha, uma vez que a memória liberada pode conter informações diferentes ou ser utilizada por outros softwares.
Para solucionar este problema, o Google lançou as versões 124.0.6367.201/.202 para Mac/Windows e 124.0.6367.201 para Linux, com atualizações programadas para serem disponibilizadas nos próximos dias/semanas. Usuários do canal 'Extended Stable' receberão as correções na versão 124.0.6367.201 para Mac e Windows em lançamentos posteriores.
O Chrome é configurado para atualizar automaticamente quando uma nova versão de segurança está disponível, mas os usuários podem verificar se estão utilizando a versão mais recente acessando Configurações > Sobre o Chrome, permitindo que a atualização seja concluída e clicando no botão 'Reiniciar' para aplicá-la.
Esta última vulnerabilidade abordada no Google Chrome marca a quinta identificada este ano, com três delas sendo descobertas durante o concurso de hackers Pwn2Own realizado em março de 2024, em Vancouver.
Segue abaixo a lista completa das vulnerabilidades de dia zero do Chrome corrigidas desde o início de 2024:
CVE-2024-0519: Foi identificado um ponto crítico de acesso à memória fora dos limites no mecanismo JavaScript do Chrome V8. Esse ponto fraco de alta gravidade permite que hackers explorem remotamente a corrupção de heap através de uma página HTML especialmente concebida, resultando em acesso não autorizado a informações confidenciais.
CVE-2024-2887: Detectou-se uma falha grave de confusão de tipos no padrão WebAssembly (Wasm). Essa vulnerabilidade pode ser explorada para execução remota de código (RCE), aproveitando uma página HTML maliciosa.
CVE-2024-2886: Uma vulnerabilidade foi encontrada na API WebCodecs, usada por aplicativos da web para codificar e decodificar áudio e vídeo. Atacantes remotos têm explorado essa falha para realizar leituras e gravações arbitrárias através de páginas HTML manipuladas, resultando em execução remota de código.
CVE-2024-3159: Esta vulnerabilidade crítica é ocasionada por uma leitura fora dos limites no mecanismo JavaScript do Chrome V8. Invasores têm explorado remotamente essa falha usando páginas HTML preparadas para acessar dados além do buffer de memória alocado, resultando em corrupção de heap que pode ser utilizada para extrair informações confidenciais.
Via - BleepingComputer
Comments