Google Corrige Mais Uma Vulnerabilidade Zero-Day do Chrome Explorada no Pwn2Own
4 de Abril de 2024

A Google corrigiu mais uma vulnerabilidade zero-day no navegador Chrome, que foi explorada por pesquisadores de segurança durante o concurso de hacking Pwn2Own no mês passado.

Identificada como CVE-2024-3159, essa falha de segurança de alta gravidade é causada por uma fraqueza de leitura fora dos limites no motor JavaScript V8 do Chrome.

Atacantes remotos podem explorar a vulnerabilidade usando páginas HTML criadas para acessar dados além do buffer de memória por meio de corrupção de heap, o que pode fornecer a eles informações sensíveis ou provocar um travamento.

Pesquisadores de segurança da Palo Alto Networks, Edouard Bochin e Tao Yan, demonstraram o zero-day no segundo dia do Pwn2Own Vancouver 2024 para derrotar o fortalecimento do V8.

Seu exploit de "double-tap" permitiu que eles executassem código arbitrário no Google Chrome e no Microsoft Edge, ganhando um prêmio de US$ 42.500.

A Google agora corrigiu o zero-day na versão estável do Google Chrome 123.0.6312.105/.106/.107 (Windows e Mac) e 123.0.6312.105 (Linux), que será distribuído mundialmente nos próximos dias.

Há uma semana, a Google corrigiu mais dois zero-days do Chrome explorados no Pwn2Own Vancouver 2024.

O primeiro, uma fraqueza de confusão de tipo de alta gravidade ( CVE-2024-2887 ) no padrão aberto WebAssembly (Wasm), foi alvo do exploit de RCE "double-tap" de Manfred Paul que visava tanto o Chrome quanto o Edge.

O segundo, uma fraqueza de uso após liberação (UAF) na API WebCodecs ( CVE-2024-2886 ), também foi explorada por Seunghyun Lee do KAIST Hacking Lab para obter execução de código remoto em ambos os navegadores web Chromium.

A Mozilla também corrigiu dois zero-days do Firefox explorados por Manfred Paul na competição Pwn2Own Vancouver deste ano no mesmo dia em que os bugs foram explorados.

Embora tanto a Google quanto a Mozilla tenham lançado patches de segurança dentro de uma semana, normalmente os fornecedores levam mais tempo para corrigir zero-days do Pwn2Own, já que a iniciativa Zero Day da Trend Micro divulga publicamente os detalhes dos bugs após 90 dias.

No total, a Google corrigiu quatro zero-days do Chrome este ano, com o quarto sendo abordado em janeiro como um zero-day ativamente explorado ( CVE-2024-0519 ) que permitia aos atacantes travar navegadores não atualizados ou acessar informações sensíveis devido a uma fraqueza de acesso à memória fora dos limites no motor JavaScript V8.

Na terça-feira, a empresa também corrigiu dois zero-days do Android explorados por firmas forenses para desbloquear telefones Pixel sem um PIN e acessar os dados armazenados neles.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...