O Google lançou uma atualização de segurança para o navegador Chrome para corrigir a quinta vulnerabilidade zero-day explorada ativamente desde o início do ano.
A questão de alta gravidade, rastreada como CVE-2024-4671, é uma vulnerabilidade de "use after free" no componente Visuals, que lida com a renderização e exibição de conteúdo no navegador.
O CVE-2024-4671 foi descoberto e relatado ao Google por um pesquisador anônimo, enquanto a empresa divulgou que provavelmente está sendo explorado ativamente.
"O Google está ciente de que existe um exploit para o CVE-2024-4671 no ambiente virtual", lê-se no comunicado, sem fornecer informações adicionais.
Falhas de use after free são falhas de segurança que ocorrem quando um programa continua a usar um ponteiro após a memória à qual ele aponta ter sido liberada, após a conclusão de suas operações legítimas naquela região.
Como a memória liberada agora pode conter dados diferentes ou ser utilizada por outros softwares ou componentes, acessá-la pode resultar em vazamento de dados, execução de código ou travamento.
O Google abordou o problema com o lançamento da versão 124.0.6367.201/.202 para Mac/Windows e 124.0.6367.201 para Linux, com as atualizações sendo distribuídas nos próximos dias/semanas.
Para os usuários do canal "Extended Stable", as correções estarão disponíveis na versão 124.0.6367.201 para Mac e Windows, também a serem distribuídas posteriormente.
O Chrome atualiza automaticamente quando uma atualização de segurança está disponível, mas os usuários podem confirmar que estão utilizando a versão mais recente acessando Configurações > Sobre o Chrome, permitindo que a atualização seja concluída e, em seguida, clicando no botão "Reiniciar" para aplicá-la.
Esta última falha endereçada no Google Chrome é a quinta deste ano, com outras três descobertas durante o concurso de hacking Pwn2Own de março de 2024 em Vancouver.
A lista completa das vulnerabilidades zero-day do Chrome corrigidas desde o início de 2024 inclui também:
CVE-2024-0519
: Uma falha de alta gravidade de acesso à memória fora dos limites dentro do motor JavaScript Chrome V8, permitindo que atacantes remotos explorem a corrupção do heap por meio de uma página HTML especialmente criada, levando ao acesso não autorizado a informações sensíveis.
CVE-2024-2887
: Uma falha de confusão de tipo de alta gravidade no padrão WebAssembly (Wasm).
Poderia levar a explorações de execução remota de código (RCE) aproveitando uma página HTML elaborada.
CVE-2024-2886
: Uma vulnerabilidade de use-after-free na API WebCodecs usada por aplicações web para codificar e decodificar áudio e vídeo.
Atacantes remotos a exploraram para realizar leituras e escritas arbitrárias por meio de páginas HTML criadas, levando à execução remota de código.
CVE-2024-3159: Uma vulnerabilidade de alta gravidade causada por uma leitura fora dos limites no motor JavaScript Chrome V8.
Atacantes remotos exploraram essa falha usando páginas HTML especialmente criadas para acessar dados além do buffer de memória alocado, resultando em corrupção do heap que poderia ser aproveitada para extrair informações sensíveis.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...