O Google lançou correções de segurança para abordar uma falha de segurança de alta gravidade em seu navegador Chrome, que, segundo informado, tem sido ativamente explorada.
Identificada como
CVE-2024-7971
, a vulnerabilidade foi descrita como um bug de confusão de tipo no motor V8 JavaScript e WebAssembly.
"Confusão de tipo no V8 no Google Chrome anterior à versão 128.0.6613.84 permitiu a um atacante remoto explorar corrupção de heap por meio de uma página HTML manipulada," de acordo com a descrição do bug no Banco de Dados Nacional de Vulnerabilidades (NVD) da NIST.
O Centro de Inteligência de Ameaças da Microsoft (MSTIC) e o Centro de Resposta a Segurança da Microsoft (MSRC) foram creditados pela descoberta e relato da falha em 19 de agosto de 2024.
Não foram liberados detalhes adicionais sobre a natureza dos ataques que exploram a falha ou a identidade dos atores de ameaça que podem estar a armar-se com ela, principalmente para garantir que a maioria dos usuários esteja atualizada com uma correção.
No entanto, o gigante da tecnologia reconheceu em uma declaração sucinta que "está ciente de que um exploit para
CVE-2024-7971
existe no mundo real." Vale mencionar que
CVE-2024-7971
é o terceiro bug de confusão de tipo que foi corrigido no V8 este ano, após o
CVE-2024-4947
e o CVE-2024-5274.
O Google já abordou nove vulnerabilidades zero-day no Chrome desde o início de 2024, incluindo três que foram demonstradas no Pwn2Own 2024:
CVE-2024-0519
- Acesso à memória fora dos limites no V8
CVE-2024-2886
- Uso após liberação (Use-after-free) em WebCodecs (demonstrado no Pwn2Own 2024)
CVE-2024-2887
- Confusão de tipo em WebAssembly (demonstrado no Pwn2Own 2024)
CVE-2024-3159 - Acesso à memória fora dos limites no V8 (demonstrado no Pwn2Own 2024)
CVE-2024-4671 - Uso após liberação (Use-after-free) em Visuals
CVE-2024-4761 - Escrita fora dos limites em V8
CVE-2024-4947
- Confusão de tipo no V8
CVE-2024-5274 - Confusão de tipo no V8
Recomenda-se que os usuários atualizem para a versão 128.0.6613.84/.85 do Chrome para Windows e macOS, e a versão 128.0.6613.84 para Linux, a fim de mitigar ameaças em potencial.
Usuários de navegadores baseados no Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são aconselhados a aplicar as correções assim que estiverem disponíveis.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...