O Google lançou uma nova atualização de segurança de emergência para corrigir a oitava vulnerabilidade zero-day no navegador Chrome, confirmada como sendo explorada ativamente.
O problema de segurança foi descoberto internamente por Clément Lecigne, do Google, e está identificado como CVE-2024-5274. Trata-se de uma falha de alta gravidade do tipo 'type confusion' no V8, o motor JavaScript do Chrome responsável por executar código JS.
"O Google está ciente de que existe um exploit para o CVE-2024-5274 em circulação," afirmou a empresa no comunicado de segurança.
Uma vulnerabilidade de 'type confusion' ocorre quando um programa aloca uma área de memória para armazenar um determinado tipo de dado, mas interpreta erroneamente esses dados como um tipo diferente. Isso pode levar a falhas, corrupção de dados e execução arbitrária de código.
O Google não divulgou detalhes técnicos sobre a falha para proteger os usuários de possíveis tentativas de exploração por outros agentes mal-intencionados e permitir que instalem uma versão do navegador que resolva o problema.
"O acesso aos detalhes e links sobre o bug pode ser mantido restrito até que a maioria dos usuários esteja atualizada com a correção. Também manteremos as restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos dependam, mas que ainda não foi corrigida," informou o Google.
A correção do Google foi lançada para o canal Stable do Chrome na versão 125.0.6422.112/.113 para Windows e Mac, enquanto os usuários de Linux receberão a atualização na versão 125.0.6422.112 nas próximas semanas.
O Chrome instala automaticamente atualizações de segurança importantes, que entram em vigor após reiniciar o navegador. Os usuários podem confirmar se estão usando a versão mais recente na seção "Sobre" do menu de Configurações.
Se uma atualização estiver disponível, os usuários devem aguardar a conclusão do processo de atualização e, em seguida, clicar no botão 'Reiniciar' para aplicá-la.
O CVE-2024-5274 é a oitava vulnerabilidade explorada ativamente que o Google corrigiu no Chrome desde o início do ano, e a terceira neste mês.
A decisão anterior do Google de reduzir a entrega de atualizações de segurança do Chrome de duas vezes por semana para uma vez por semana visa abordar o problema do intervalo de correção, que dá aos agentes mal-intencionados mais tempo para explorar falhas zero-day.
As falhas zero-day ativamente exploradas no Chrome que foram corrigidas no início deste ano incluem:
CVE-2024-0519: Uma falha de alta gravidade de acesso à memória fora dos limites no motor JavaScript V8 do Chrome, permitindo que atacantes remotos explorem a corrupção de heap através de uma página HTML especialmente criada, levando ao acesso não autorizado a informações sensíveis.
CVE-2024-2887: Uma falha de alta gravidade de type confusion no padrão WebAssembly (Wasm), que pode levar a execuções remotas de código (RCE) explorando páginas HTML criadas.
CVE-2024-2886: Uma vulnerabilidade de uso após liberação na API WebCodecs usada por aplicações web para codificar e decodificar áudio e vídeo. Atacantes remotos exploraram essa falha para realizar leituras e gravações arbitrárias através de páginas HTML criadas, levando à execução remota de código.
CVE-2024-3159: Uma vulnerabilidade de alta gravidade causada por uma leitura fora dos limites no motor JavaScript V8 do Chrome. Atacantes remotos exploraram essa falha usando páginas HTML especialmente criadas para acessar dados além do buffer de memória alocado, resultando em corrupção de heap que poderia ser usada para extrair informações sensíveis.
CVE-2024-4671: Uma falha de uso após liberação de alta gravidade no componente Visuals, que lida com a renderização e exibição de conteúdo no navegador.
CVE-2024-4761: Um problema de gravação fora dos limites no motor JavaScript V8 do Chrome, responsável por executar o código JS na aplicação.
CVE-2024-4947: Uma falha de alta gravidade de type confusion no motor JavaScript V8 do Chrome, potencialmente permitindo a execução arbitrária de código no dispositivo alvo.
Via - BC
Comments