Google corrige falha de alta gravidade
22 de Agosto de 2024

O Google lançou correções de segurança para abordar uma falha de segurança de alta gravidade em seu navegador Chrome, que, segundo informado, tem sido ativamente explorada.

Identificada como CVE-2024-7971 , a vulnerabilidade foi descrita como um bug de confusão de tipo no motor V8 JavaScript e WebAssembly.

"Confusão de tipo no V8 no Google Chrome anterior à versão 128.0.6613.84 permitiu a um atacante remoto explorar corrupção de heap por meio de uma página HTML manipulada," de acordo com a descrição do bug no Banco de Dados Nacional de Vulnerabilidades (NVD) da NIST.

O Centro de Inteligência de Ameaças da Microsoft (MSTIC) e o Centro de Resposta a Segurança da Microsoft (MSRC) foram creditados pela descoberta e relato da falha em 19 de agosto de 2024.

Não foram liberados detalhes adicionais sobre a natureza dos ataques que exploram a falha ou a identidade dos atores de ameaça que podem estar a armar-se com ela, principalmente para garantir que a maioria dos usuários esteja atualizada com uma correção.

No entanto, o gigante da tecnologia reconheceu em uma declaração sucinta que "está ciente de que um exploit para CVE-2024-7971 existe no mundo real." Vale mencionar que CVE-2024-7971 é o terceiro bug de confusão de tipo que foi corrigido no V8 este ano, após o CVE-2024-4947 e o CVE-2024-5274.

O Google já abordou nove vulnerabilidades zero-day no Chrome desde o início de 2024, incluindo três que foram demonstradas no Pwn2Own 2024:

CVE-2024-0519 - Acesso à memória fora dos limites no V8
CVE-2024-2886 - Uso após liberação (Use-after-free) em WebCodecs (demonstrado no Pwn2Own 2024)
CVE-2024-2887 - Confusão de tipo em WebAssembly (demonstrado no Pwn2Own 2024)
CVE-2024-3159 - Acesso à memória fora dos limites no V8 (demonstrado no Pwn2Own 2024)
CVE-2024-4671 - Uso após liberação (Use-after-free) em Visuals
CVE-2024-4761 - Escrita fora dos limites em V8
CVE-2024-4947 - Confusão de tipo no V8
CVE-2024-5274 - Confusão de tipo no V8

Recomenda-se que os usuários atualizem para a versão 128.0.6613.84/.85 do Chrome para Windows e macOS, e a versão 128.0.6613.84 para Linux, a fim de mitigar ameaças em potencial.

Usuários de navegadores baseados no Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são aconselhados a aplicar as correções assim que estiverem disponíveis.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...