Google Oferece Recompensa de US$ 41 Mil por Identificação de Três Graves Vulnerabilidades no Chrome
19 de Abril de 2024

O Google lançou na última semana uma atualização de segurança crítica para o Chrome, versão 123, corrigindo três graves falhas de segurança de memória identificadas por pesquisadores independentes.

A primeira vulnerabilidade, identificada como CVE-2024-3157 , trata-se de um problema de gravação fora dos limites na funcionalidade de Compositing, com o Google oferecendo uma recompensa de US$ 21 mil pela identificação da falha.

Conforme reportado pelo Instituto Nacional de Padrões e Tecnologia (NIST) dos EUA, essa falha poderia permitir que um atacante remoto comprometesse o processo da unidade de processamento gráfico (GPU), explorando a vulnerabilidade para escapar da proteção sandbox por meio de ações específicas na interface do usuário.

A segunda vulnerabilidade, CVE-2024-3516 , é relacionada a um estouro de buffer de heap no mecanismo de renderização Angle, que poderia ser explorado por um atacante por meio de páginas web mal-intencionadas para causar corrupção de heap.

Já o terceiro problema, identificado como CVE-2024-3515 , envolve um bug de uso após liberação no Dawn, que também pode resultar em corrupção de heap por meio de páginas web especificamente criadas para esse fim.

O Google informou que pagou recompensas de US$ 10 mil por cada uma das duas últimas falhas de segurança identificadas.

A nova atualização do Chrome foi lançada na versão 123.0.6312.122 para usuários de Linux, versões 123.0.6312.122/.123 para Windows e 123.0.6312.122/.123/.124 para macOS.

Além de corrigir essas vulnerabilidades, o Google anunciou a expansão de seu programa de recompensas por bugs para incluir o Chrome V8 e o Google Cloud, incentivando a identificação e correção de falhas em inteligência artificial generativa.

Importante ressaltar que, até o momento, não houve reportes de que essas vulnerabilidades tenham sido exploradas em ataques maliciosos.

No entanto, é notório que as falhas de segurança de memória no Chrome representam um desafio contínuo, sendo que todas as explorações de zero day do navegador, entre 2021 e 2023, tiveram origem em bugs de corrupção de memória que possibilitaram execução remota de código.

O Google segue empenhado na luta contra falhas de segurança de memória no Chrome, adotando medidas como verificações de tempo de execução e a migração para a linguagem de programação Rust, reconhecida por sua segurança em relação à memória, dificultando a exploração dessas vulnerabilidades.

Para mais informações sobre a CVE-2024-3157 , acesse o site do laboratório de TI do NIST.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...