O Google implementou correções para um conjunto de nove problemas de segurança em seu navegador Chrome, incluindo um novo zero-day que foi explorado ativamente.
Designada com o identificador CVE
CVE-2024-4947
, a vulnerabilidade está relacionada a um bug de confusão de tipo no motor V8 JavaScript e WebAssembly.
Foi relatada pelos pesquisadores da Kaspersky, Vasily Berdnikov e Boris Larin, em 13 de maio de 2024.
Vulnerabilidades de confusão de tipo surgem quando um programa tenta acessar um recurso com um tipo incompatível.
Podem ter impactos graves, pois permitem que atores de ameaças realizem acesso à memória fora dos limites, causem uma falha e executem código arbitrário.
O desenvolvimento marca o terceiro zero-day que o Google corrigiu em uma semana após o CVE-2024-4671 e o CVE-2024-4761.
Como é típico, nenhum detalhe adicional sobre os ataques está disponível e foi retido para evitar explorações adicionais.
"O Google está ciente de que existe um exploit para o
CVE-2024-4947
ativo," disse a empresa.
Com o
CVE-2024-4947
, um total de sete zero-days foram resolvidos pelo Google no Chrome desde o início do ano:
-
CVE-2024-0519
- Acesso à memória fora dos limites no V8
-
CVE-2024-2886
- Uso após liberação em WebCodecs (demonstrado no Pwn2Own 2024)
-
CVE-2024-2887
- Confusão de tipo em WebAssembly (demonstrado no Pwn2Own 2024)
- CVE-2024-3159 - Acesso à memória fora dos limites no V8 (demonstrado no Pwn2Own 2024)
- CVE-2024-4671 - Uso após liberação em Visuals
- CVE-2024-4761 - Escrita fora dos limites no V8
Recomenda-se que os usuários atualizem para a versão 125.0.6422.60/.61 do Chrome para Windows e macOS, e versão 125.0.6422.60 para Linux, a fim de mitigar potenciais ameaças.
Usuários de navegadores baseados em Chromium como Microsoft Edge, Brave, Opera e Vivaldi também são aconselhados a aplicar as correções assim que estiverem disponíveis.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...