A Google liberou uma nova atualização de segurança emergencial para corrigir a oitava vulnerabilidade zero-day no navegador Chrome confirmada como sendo ativamente explorada.
O problema de segurança foi descoberto internamente por Clément Lecigne da Google e é registrado como CVE-2024-5274.
Trata-se de uma vulnerabilidade de alta gravidade por "type confusion" no V8, o motor JavaScript do Chrome responsável por executar o código JS.
"A Google está ciente de que existe um exploit para o CVE-2024-5274 sendo utilizado ativamente," disse a empresa em seu comunicado de segurança.
Uma vulnerabilidade por "type confusion" ocorre quando um programa aloca um segmento de memória para armazenar um certo tipo de dado, mas interpreta erroneamente o dado como um tipo diferente.
Isso pode levar a travamentos, corrupção de dados, bem como a execução arbitrária de código.
A Google não compartilhou detalhes técnicos sobre a falha para proteger os usuários de tentativas de exploração por parte de outros agentes de ameaças e permitir que instalem uma versão do navegador que resolva o problema.
"O acesso aos detalhes do bug e links pode ser mantido restrito até que uma maioria dos usuários esteja atualizada com uma correção.
Também manteremos as restrições se o bug existir em uma biblioteca de terceiros que outros projetos igualmente dependam, mas que ainda não tenham corrigido," disse a gigante da tecnologia.
A correção da Google está sendo distribuída para o canal Stable do Chrome na versão 125.0.6422.112/.113 para Windows e Mac, enquanto os usuários de Linux receberão a atualização na versão 125.0.6422.112 nas próximas semanas.
O Chrome instala atualizações de segurança importantes automaticamente e elas passam a valer após reiniciar o navegador.
Os usuários podem confirmar que estão usando a versão mais recente na seção Sobre do menu Configurações.
Se uma atualização estiver disponível, os usuários devem aguardar o término do processo de atualização e então clicar no botão "Relançar" para aplicá-la.
O CVE-2024-5274 é a oitava vulnerabilidade explorada ativamente que a Google corrigiu no Chrome desde o início do ano, e a terceira neste mês.
Ao mesmo tempo, a decisão anterior de reduzir a entrega de atualizações de segurança do Chrome de duas para uma vez por semana aborda o problema do "patch gap" que dá aos agentes de ameaças mais tempo para explorar falhas zero-day.
As falhas zero-day do Chrome que foram corrigidas anteriormente neste ano incluem:
CVE-2024-0519
: Uma falha de alta gravidade por acesso a memória fora dos limites no motor JavaScript V8 do Chrome, permitindo que atacantes remotos explorassem a corrupção de heap através de uma página HTML especialmente criada, levando ao acesso não autorizado a informações sensíveis.
CVE-2024-2887
: Uma falha por "type confusion" de alta gravidade no padrão WebAssembly (Wasm).
Poderia levar a explorações de execução remota de código (RCE) utilizando uma página HTML criada especificamente para isso.
CVE-2024-2886
: Uma vulnerabilidade de uso após liberação na API WebCodecs usada por aplicações web para codificar e decodificar áudio e vídeo.
Atacantes remotos a exploraram para realizar leituras e escritas arbitrárias por meio de páginas HTML criadas para esse fim, levando à execução remota de código.
CVE-2024-3159: Uma vulnerabilidade de alta gravidade causada por uma leitura fora dos limites no motor JavaScript V8 do Chrome.
Atacantes remotos exploraram essa falha usando páginas HTML especialmente criadas para acessar dados além do buffer de memória alocado, resultando em corrupção de heap que poderia ser aproveitada para extrair informações sensíveis.
CVE-2024-4671: Uma falha de alta gravidade por uso após liberação no componente Visuals que lida com a renderização e exibição de conteúdo no navegador.
CVE-2024-4761: Um problema de escrita fora dos limites no motor JavaScript V8 do Chrome, responsável por executar código JS na aplicação.
CVE-2024-4947
: Uma fraqueza por "type confusion" de alta gravidade no motor JavaScript V8 do Chrome, potencialmente possibilitando a execução arbitrária de código no dispositivo alvo.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...