chrome-3729545_640-e1572820873584.jpg

Google corrige quatro bugs de dia zero no navegador Chrome

Da Redação
06/07/2022

O Google lançou uma atualização para seu navegador Chrome com o propósito de corrigir quatro vulnerabilidades, incluindo uma atual de dia zero que vem sendo explorada por invasores. A nova versão do Chrome 103.0.5060.114 será lançada para usuários do Windows nos próximos dias ou semanas, de acordo com um comunicado do Google.

A atualização inclui a CVE-2022-2294 de alta gravidade, um bug de estouro de buffer de heap no WebRTC. Foi relatado pelo pesquisador da Avast, Jan Vojtesek, em 1º de julho. “Também gostaríamos de agradecer a todos os pesquisadores de segurança que trabalharam conosco durante o ciclo de desenvolvimento para evitar que bugs de segurança chegassem ao canal estável”, disse o Google. “O Google está ciente de que existe um exploit para a CVE-2022-2294”.

Até o momento não foram fornecidas informações adicionais sobre como a falha de dia zero está sendo explorada, por quem e com que finalidade. No entanto, o Google divulgou detalhes de duas outras vulnerabilidades de alta gravidade encontradas por pesquisadores externos, que foram corrigidas na atualização. 

Uma delas é a CVE-2022-2295, um erro de confusão de tipos no mecanismo JavaScript V8, e a outra é a CVE-2022-2296, uma falha de uso posterior (UAF) no Shell do Chrome OS. Segundo a MITRE, organização sem fins lucrativos que opera centros de pesquisa e desenvolvimento de segurança cibernética patrocinados pelo governo americano, vulnerabilidades de confusão de tipos ocorrem quando “o programa aloca ou inicializa um recurso como um ponteiro, objeto ou variável usando um tipo, mas depois acessa esse recurso usando um tipo que é incompatível com o tipo original”.

Veja isso
Patch do Chrome para Windows, Mac e Linux deve sair em breve
Google corrige duas falhas de dia zero graves no Chrome

Patrick Tiquet, vice-presidente de segurança e arquitetura da Keeper Security, explicou à Infosecurity que a CVE-2022-2294 pode levar à execução de código remoto arbitrário simplesmente visitando um site malicioso. “Isso pode permitir que um invasor execute uma variedade de ações em um sistema de destino, como instalar malware ou roubar informações. Os navegadores da Web são aplicativos essenciais que quase todos os serviços baseados em nuvem têm em comum e, portanto, são alvos de alta prioridade — o comprometimento de um navegador da Web pode ser aproveitado para comprometer qualquer serviço baseado em nuvem acessado por esse navegador”, acrescentou.

Este é o quarto bug de dia zero do Chrome que o Google foi forçado a corrigir até agora este ano após atualizações em fevereiro, março e abril.

Compartilhar: