Google corrige sexto Zero-Day
14 de Maio de 2024

A empresa lançou atualizações de segurança de emergência para o Chrome para corrigir uma vulnerabilidade de alta gravidade identificada como explorada em ataques.

Essa correção ocorre apenas três dias após a bigtech ter endereçado outra falha zero-day, CVE-2024-4671, causada por uma fraqueza de use-after-free no componente Visuals.

A falha mais recente é rastreada como CVE-2024-4761.

Trata-se de um problema de out-of-bounds write afetando o motor V8 JavaScript do navegador, responsável por executar código JS na aplicação.

Problemas de out-of-bounds write ocorrem quando um programa tem permissão para escrever dados fora do array ou buffer especificado, podendo levar a acesso não autorizado a dados, execução arbitrária de código ou falhas do programa.

“A Google está ciente de que um exploit para CVE-2024-4761 existe no wild,” indica o comunicado.

A empresa corrigiu a falha de segurança com o lançamento da versão 124.0.6367.207/.208 para Mac/Windows e 124.0.6367.207 para Linux.

As atualizações serão distribuídas para todos os usuários nos próximos dias/semanas.

Para usuários do canal ‘Extended Stable’, correções estarão disponíveis na versão 124.0.6367.207 para Mac e Windows.

O Chrome atualiza automaticamente quando uma atualização de segurança está disponível, mas os usuários podem confirmar que estão utilizando a versão mais recente acessando Configurações > Sobre o Chrome, permitindo que a atualização termine e, então, clicando no botão 'Reiniciar' para aplicá-la.

Esta vulnerabilidade recente é o sexto bug zero-day descoberto e corrigido no popular navegador web desde o início do ano.

A empresa observa que um pesquisador anônimo relatou a falha em 9 de maio de 2024, mas nenhum detalhe adicional foi divulgado até o momento.

"O acesso aos detalhes da falha e links pode ser mantido restrito até que a maioria dos usuários esteja atualizada com uma correção. Também manteremos restrições se a falha existir em uma biblioteca de terceiros da qual outros projetos igualmente dependem, mas ainda não corrigiram," disse a Google.

Falhas zero-day do Chrome corrigidas em 2024 incluem:

CVE-2024-0519 : Uma falha de acesso à memória fora dos limites de alta gravidade dentro do motor JavaScript V8 do Chrome, permitindo que atacantes remotos explorem a corrupção do heap por meio de uma página HTML especialmente criada, levando ao acesso não autorizado a informações sensíveis.

CVE-2024-2887 : Uma falha de confusão de tipo de alta gravidade no padrão WebAssembly (Wasm).
Poderia levar a exploits de execução de código remoto (RCE) aproveitando uma página HTML criada para tal.

CVE-2024-2886 : Uma vulnerabilidade de use-after-free na API WebCodecs usada por aplicações web para codificar e decodificar áudio e vídeo.

Atacantes remotos a exploraram para realizar leituras e escritas arbitrarias por meio de páginas HTML criadas para tal, levando à execução de código remoto.
CVE-2024-3159: Uma vulnerabilidade de alta gravidade causada por uma leitura fora dos limites no motor JavaScript V8 do Chrome.

Atacantes remotos exploraram essa falha usando páginas HTML especialmente criadas para acessar dados além do buffer de memória alocado, resultando em corrupção do heap que poderia ser aproveitada para extrair informações sensíveis.
CVE-2024-4671: Uma falha de use-after-free de alta gravidade no componente Visuals que lida com a renderização e exibição de conteúdo no navegador.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...