chrome-3729545_1280-1.jpg

Google corrige duas falhas de dia zero graves no Chrome

Este é o terceiro conjunto de patches de dia zero para o navegador de internet em três meses
Da Redação
01/11/2021

É hora de atualizar o Chrome e, mais uma vez, pelo terceiro mês consecutivo, o Google corrigiu dois bugs de ‘dia zero’ anteriormente desconhecidos no navegador de desktop mais popular do mundo.

O Google anunciou que corrigiu duas falhas de dia zero de alta gravidade para o lançamento do Chrome versão 95.0.4638.69 para Windows, Mac e Linux. Qualquer versão superior a esse terá as correções. Este é terceiro mês consecutivo que o Google corrige bugs de ‘dia zero’ anteriormente desconhecidos no navegador de desktop mais popular do mundo.

É recomendável verificar a página de suporte do Google para atualizações que explica como o Chrome pode ser configurado para atualizar automaticamente quando os patches estiverem disponíveis. Caso contrário, o Chrome tem um botão ‘Atualizar’ que fica vermelho se uma atualização tiver pelo menos uma semana, indicando que deve ser instalada.

As duas falhas de dia zero — que estão sendo exploradas por invasores agora — estão sendo rastreadas com os identificadores CVE-2021-38000 e CVE-2021-38003. Ambos foram encontrados pelo Threat Analysis Group (TAG) do Google, que rastreia atividades de exploração patrocinadas por Estados-nação e cibercriminosos.

O CVE-2021-38000 é uma falha de projeto devido à “validação insuficiente de entrada não confiável nas intenções”. Foi relatado pelo TAG em 15 de setembro. Já o CVE-2021-38003 é uma falha de corrupção de memória, de acordo com o rastreador de dia zero do Google Project Zero, e é descrito vagamente como “implementação inadequada no V8”. O V8 é o poderoso mecanismo JavaScript do Chrome e os bugs permitem que invasores criem “exploits poderosos” que são difíceis de mitigar com as tecnologias de segurança existentes.

“O Google está ciente de que existem exploits para CVE-2021-38000 e CVE-2021-38003”, disse a empresa em notas de lançamento. A atualização será lançada nos próximos dias ou semanas, de acordo com o Google.

Veja isso
Extensões do Chrome e Edge contaminaram 3 milhões de usuários
Cabeçalhos de segurança do Chrome desativados elevam risco na web

Existem oito correções de segurança, principalmente relacionadas à memória, nesta atualização do Chrome. As falhas de alta gravidade listadas atualmente incluem um uso pós-livre no Sign-in, outro uso pós-livre na coleta de lixo do Chrome, validação de dados insuficiente na página Nova guia do Chrome, uma confusão de tipo no V8 e um uso depois -gratuito no Web Transport.

Este lançamento do Chrome marca a 14ª falha de dia zero que o Google corrigiu no Chrome este ano. A 10ª foi em meados de setembro, quando corrigiu dois dias-zero. Consertou mais dois dias-zero no final de setembro e mais dois na quinta-feira, 25 de outubro.

O Google não atribuiu as explorações a nenhum grupo de hackers.

O fato de o Google ter corrigido um número incomum de falhas de dia zero no Chrome neste ano pode ser interpretado de várias maneiras. Quanto mais coisas são descobertas e mais rapidamente corrigidas por meio de atualizações, isso é bom para os usuários finais. Uma vez corrigido, o exploit é menos valioso. Isso pode significar que os defensores estão cada vez melhores em detectar dias-zero.

Por outro lado, o Google Project Zero viu um aumento em zero-day afetando plataformas importantes como Chrome, Windows e iOS no ano passado. A razão para isso poderia ser a comercialização do mercado de exploits de dia zero, fornecendo um atalho para a aquisição de exploits que, de outra forma, requerem habilidades para se desenvolver.

Compartilhar:

Parabéns, você já está cadastrado para receber diariamente a Newsletter do CISO Advisor

Por favor, verifique a sua caixa de e-mail: haverá uma mensagem do nosso sistema dando as instruções para a validação de seu cadastro. Siga as instruções contidas na mensagem e boa leitura. Se você não receber a mensagem entre em contato conosco pelo “Fale Conosco” no final da homepage.

ATENÇÃO: INCLUA newsletter@cisoadvisor.com.br NOS CONTATOS DE EMAIL

(para a newsletter não cair no SPAM)