Engenheiros do Google emitiram comunicado no dia 31 de outubro sobre o navegador de internet devido a duas brechas de segurança de Zero Day
Em plena noite de Halloween, dia em que se celebra o Dia das Bruxas nos Estados Unidos, um tipo diferente de fantasma começou a assombrar os navegadores do Google Chrome. Engenheiros do Google Chrome emitiram um comunicado urgente no dia 31 de outubro sobre o navegador de internet devido a duas vulnerabilidades de segurança de Zero Day (dia zero), uma das quais está sendo ativamente explorada (CVE-2019-13720). Exploração de dia zero é um ataque virtual que ocorre no mesmo dia em que um ponto fraco do software é descoberto.
Embora existam poucos detalhes específicos conhecidos até o momento, os pesquisadores descobriram que o bug é uma falha que aproveita a funcionalidade “Use-After-Free” do software que permite que um hacker crie um PDF envenenado com código que permite que ele assuma o controle total do sistema do dispositivo. Ou seja, corrompe a memória que tenta acessar a memória de um dispositivo após sua liberação.
Se um hacker invadir o dispositivo pode causar uma variedade de problemas, incluindo falhas no programa, execução de código malicioso ou até mesmo permitir que ele obtenha acesso remoto completo ao dispositivo.
A segunda vulnerabilidade (a CVE-2019-13721) afeta o PDFium, plataforma desenvolvida pela Foxit e pelo Google. O PDFium fornece recursos aos desenvolvedores para alavancar uma biblioteca de software de código aberto destinada a exibição e pesquisa de documentos PDF. Como o primeiro bug, essa falha também é uma vulnerabilidade a funcionalidade “Use-After-Free”. No entanto, ainda não há relatos de que ela tenha sido explorada por criminosos cibernéticos para fins maliciosos.
O Google reconheceu as vulnerabilidades e está lançando um patch para esses erros nos próximos dias.