O Google anunciou na quarta-feira, 3, a primeira atualização de segurança do Chrome de 2024, que resolve seis vulnerabilidades, incluindo quatro relatadas por pesquisadores externos. Todos os quatro bugs relatados externamente são falhas de segurança de memória de alta gravidade, mas as recompensas por bugs foram distribuídas apenas para três deles, observa o Google em seu comunicado.
Os dois primeiros bugs, rastreados como CVE-2024-0222 e CVE-2024-0223, são vulnerabilidades de uso após liberação e de estouro de buffer de heap no mecanismo de renderização gráfica Angle. Ambos os problemas foram relatados por pesquisadores da Qrious Secure, que receberam recompensas de bug de US$ 15 mil para cada um deles.
O terceiro bug (CVE-2024-0224) é um defeito de uso, após liberação, no componente WebAudio do Chrome. O Google diz que distribuiu recompensa de US$ 10 mil por bug por essa falha ao pesquisador do Ant Group Light-Year Security Lab que a relatou. Problemas de uso após liberação ocorrem quando o ponteiro não é limpo ao liberar a alocação de memória e normalmente levam à execução arbitrária de código, corrupção de dados ou negação de serviço.
A atualização mais recente do Chrome também resolve uma vulnerabilidade de uso após liberação no WebGPU. O bug é rastreado como CVE-2024-0225 e o Google ainda não divulgou o valor da recompensa pelo bug a ser pago ao pesquisador relator.
Veja isso
Google corrige 6º dia zero de alta gravidade no Chrome neste ano
Google corrige quatro bugs de dia zero no navegador Chrome
No Chrome, bugs do tipo use-after-free podem ser explorados para escapar da sandbox do navegador, caso o invasor tenha como alvo uma falha no sistema operacional subjacente ou em um processo privilegiado.
A iteração mais recente do Chrome está sendo lançada como versão 120.0.6099.199 para macOS e Linux e como versões 120.0.6099.199/200 para Windows. O Google atualizou o canal estável estendido do Chrome para a versão 120.0.6099.199 para macOS e para a versão 120.0.6099.200 para Windows.
