Na última quinta-feira, dia 23 de Maio, o Google lançou uma nova atualização do Chrome para corrigir mais uma vulnerabilidade explorada nesse navegador: foi o quarto zero-day a ser corrigido em duas semanas.
Classificada como CVE-2024-5274, a falha de alta gravidade é descrita como uma confusão de tipo no engine V8 de JavaScript e WebAssembly. “O Google está ciente de que existe um exploit para CVE-2024-5274 em circulação”, observou a empresa em um comunicado.
Veja isso
Segundo dia zero do Chrome explorado é corrigido pelo Google
Hackers usam dia zero da Cisco para violar redes de governos
A empresa não compartilhou detalhes sobre o bug em si, nem sobre qualquer exploração ativa, mas creditou Clement Lecigne do Google Threat Analysis Group (TAG) e Brendon Tiszka, do Chrome Security, por relatarem a falha. Não haverá recompensa por bug bounty pela descoberta.
As vulnerabilidades do Chrome são frequentemente exploradas por fornecedores de software de vigilância comercial, e pesquisadores do Google TAG relataram anteriormente vários zero-days direcionados por fornecedores de spyware, incluindo falhas de segurança no navegador do Google.
A CVE-2024-5274 é o quarto zero-day a ser corrigido nos últimos 15 dias, sendo que anteriormente o Google corrigiu a CVE-2024-4671 (uso após liberação no Visuals), CVE-2024-4761 (gravação fora dos limites no V8) e CVE-2024-4947 (confusão de tipo no V8).
O Google resolveu um total de oito zero-days do Chrome até agora este ano, com três deles, nomeadamente CVE-2024-2886, CVE-2024-2887 e CVE-2024-3159, demonstrados na competição de hacking Pwn2Own Vancouver 2024 em março.
A versão mais recente do Chrome está sendo lançada como versão 125.0.6422.112 para Linux e como versões 125.0.6422.112/.113 para Windows e macOS. O Google também anunciou o lançamento do Chrome para Android versões 125.0.6422.112/.113 com as mesmas correções de segurança.
Glossário by Gemini A.I.
- CVE significa Common Vulnerabilities and Exposures (Vulnerabilidades e Exposições Comuns) e é um identificador padrão usado para rastrear vulnerabilidades de software.
- Zero-day é uma vulnerabilidade de software recém-descoberta que ainda não possui uma correção disponível. Isso significa que os attackers podem explorá-la para atacar sistemas vulneráveis.
- O Google Threat Analysis Group (TAG) é uma equipe de segurança do Google que rastreia ameaças cibernéticas e vulnerabilidades de software.
- Bug bounty é um programa no qual as empresas oferecem recompensas a pesquisadores de segurança por descobrirem e reportarem vulnerabilidades de software.
- Pwn2Own é uma competição anual de hacking onde pesquisadores de segurança competem para explorar vulnerabilidades de software em software popular.