Google corrige outro zero-day
16 de Maio de 2024

O Google implementou correções para um conjunto de nove problemas de segurança em seu navegador Chrome, incluindo um novo zero-day que foi explorado ativamente.

Designada com o identificador CVE CVE-2024-4947 , a vulnerabilidade está relacionada a um bug de confusão de tipo no motor V8 JavaScript e WebAssembly.

Foi relatada pelos pesquisadores da Kaspersky, Vasily Berdnikov e Boris Larin, em 13 de maio de 2024.
Vulnerabilidades de confusão de tipo surgem quando um programa tenta acessar um recurso com um tipo incompatível.

Podem ter impactos graves, pois permitem que atores de ameaças realizem acesso à memória fora dos limites, causem uma falha e executem código arbitrário.

O desenvolvimento marca o terceiro zero-day que o Google corrigiu em uma semana após o CVE-2024-4671 e o CVE-2024-4761.

Como é típico, nenhum detalhe adicional sobre os ataques está disponível e foi retido para evitar explorações adicionais.

"O Google está ciente de que existe um exploit para o CVE-2024-4947 ativo," disse a empresa.
Com o CVE-2024-4947 , um total de sete zero-days foram resolvidos pelo Google no Chrome desde o início do ano:

- CVE-2024-0519 - Acesso à memória fora dos limites no V8
- CVE-2024-2886 - Uso após liberação em WebCodecs (demonstrado no Pwn2Own 2024)
- CVE-2024-2887 - Confusão de tipo em WebAssembly (demonstrado no Pwn2Own 2024)
- CVE-2024-3159 - Acesso à memória fora dos limites no V8 (demonstrado no Pwn2Own 2024)
- CVE-2024-4671 - Uso após liberação em Visuals
- CVE-2024-4761 - Escrita fora dos limites no V8

Recomenda-se que os usuários atualizem para a versão 125.0.6422.60/.61 do Chrome para Windows e macOS, e versão 125.0.6422.60 para Linux, a fim de mitigar potenciais ameaças.
Usuários de navegadores baseados em Chromium como Microsoft Edge, Brave, Opera e Vivaldi também são aconselhados a aplicar as correções assim que estiverem disponíveis.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...