A Google corrigiu mais uma vulnerabilidade zero-day no navegador Chrome, que foi explorada por pesquisadores de segurança durante o concurso de hacking Pwn2Own no mês passado.
Identificada como CVE-2024-3159, essa falha de segurança de alta gravidade é causada por uma fraqueza de leitura fora dos limites no motor JavaScript V8 do Chrome.
Atacantes remotos podem explorar a vulnerabilidade usando páginas HTML criadas para acessar dados além do buffer de memória por meio de corrupção de heap, o que pode fornecer a eles informações sensíveis ou provocar um travamento.
Pesquisadores de segurança da Palo Alto Networks, Edouard Bochin e Tao Yan, demonstraram o zero-day no segundo dia do Pwn2Own Vancouver 2024 para derrotar o fortalecimento do V8.
Seu exploit de "double-tap" permitiu que eles executassem código arbitrário no Google Chrome e no Microsoft Edge, ganhando um prêmio de US$ 42.500.
A Google agora corrigiu o zero-day na versão estável do Google Chrome 123.0.6312.105/.106/.107 (Windows e Mac) e 123.0.6312.105 (Linux), que será distribuído mundialmente nos próximos dias.
Há uma semana, a Google corrigiu mais dois zero-days do Chrome explorados no Pwn2Own Vancouver 2024.
O primeiro, uma fraqueza de confusão de tipo de alta gravidade (
CVE-2024-2887
) no padrão aberto WebAssembly (Wasm), foi alvo do exploit de RCE "double-tap" de Manfred Paul que visava tanto o Chrome quanto o Edge.
O segundo, uma fraqueza de uso após liberação (UAF) na API WebCodecs (
CVE-2024-2886
), também foi explorada por Seunghyun Lee do KAIST Hacking Lab para obter execução de código remoto em ambos os navegadores web Chromium.
A Mozilla também corrigiu dois zero-days do Firefox explorados por Manfred Paul na competição Pwn2Own Vancouver deste ano no mesmo dia em que os bugs foram explorados.
Embora tanto a Google quanto a Mozilla tenham lançado patches de segurança dentro de uma semana, normalmente os fornecedores levam mais tempo para corrigir zero-days do Pwn2Own, já que a iniciativa Zero Day da Trend Micro divulga publicamente os detalhes dos bugs após 90 dias.
No total, a Google corrigiu quatro zero-days do Chrome este ano, com o quarto sendo abordado em janeiro como um zero-day ativamente explorado (
CVE-2024-0519
) que permitia aos atacantes travar navegadores não atualizados ou acessar informações sensíveis devido a uma fraqueza de acesso à memória fora dos limites no motor JavaScript V8.
Na terça-feira, a empresa também corrigiu dois zero-days do Android explorados por firmas forenses para desbloquear telefones Pixel sem um PIN e acessar os dados armazenados neles.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...