O Google lançou na última semana uma atualização de segurança crítica para o Chrome, versão 123, corrigindo três graves falhas de segurança de memória identificadas por pesquisadores independentes.
A primeira vulnerabilidade, identificada como
CVE-2024-3157
, trata-se de um problema de gravação fora dos limites na funcionalidade de Compositing, com o Google oferecendo uma recompensa de US$ 21 mil pela identificação da falha.
Conforme reportado pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA, essa falha poderia permitir que um atacante remoto comprometesse o processo da unidade de processamento gráfico (GPU), explorando a vulnerabilidade para escapar da proteção sandbox por meio de ações específicas na interface do usuário.
A segunda vulnerabilidade,
CVE-2024-3516
, é relacionada a um estouro de buffer de heap no mecanismo de renderização Angle, que poderia ser explorado por um atacante por meio de páginas web mal-intencionadas para causar corrupção de heap.
Já o terceiro problema, identificado como
CVE-2024-3515
, envolve um bug de uso após liberação no Dawn, que também pode resultar em corrupção de heap por meio de páginas web especificamente criadas para esse fim.
O Google informou que pagou recompensas de US$ 10 mil por cada uma das duas últimas falhas de segurança identificadas.
A nova atualização do Chrome foi lançada na versão 123.0.6312.122 para usuários de Linux, versões 123.0.6312.122/.123 para Windows e 123.0.6312.122/.123/.124 para macOS.
Além de corrigir essas vulnerabilidades, o Google anunciou a expansão de seu programa de recompensas por bugs para incluir o Chrome V8 e o Google Cloud, incentivando a identificação e correção de falhas em inteligência artificial generativa.
Importante ressaltar que, até o momento, não houve reportes de que essas vulnerabilidades tenham sido exploradas em ataques maliciosos.
No entanto, é notório que as falhas de segurança de memória no Chrome representam um desafio contínuo, sendo que todas as explorações de zero day do navegador, entre 2021 e 2023, tiveram origem em bugs de corrupção de memória que possibilitaram execução remota de código.
O Google segue empenhado na luta contra falhas de segurança de memória no Chrome, adotando medidas como verificações de tempo de execução e a migração para a linguagem de programação Rust, reconhecida por sua segurança em relação à memória, dificultando a exploração dessas vulnerabilidades.
Para mais informações sobre a
CVE-2024-3157
, acesse o site do laboratório de TI do NIST.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...