O Google lançou a versão 88.0.4324.150 do navegador Chrome para Windows, Mac e Linux. O lançamento de agora contém apenas uma correção de bug para uma vulnerabilidade de dia zero. O dia zero recebeu o identificador CVE-2021-21148. Além disso, foi descrito como um bug de corrupção de memória de “estouro de heap” no mecanismo V8 JavaScript. Portanto, hackers usam falha no Chrome para fazer ataques e Google corrige falha do dia zero.
O Google disse que houve exploração do bug em ataques. Isso antes que um pesquisador de segurança chamado Mattias Buelens relatasse o problema a seus engenheiros em 24 de janeiro.
Dois dias após o relatório de Buelens, a equipe de segurança do Google publicou um relatório. Então, ele mostra ataques realizados por hackers norte-coreanos contra a comunidade de segurança cibernética.
Alguns desses ataques consistiam em atrair pesquisadores de segurança para um blog. Assim, os invasores exploravam o navegador zero-day para executar malware nos sistemas.
Hackers usam falha no Chrome para fazer ataques e Google corrige falha do dia zero
Em um relatório de 28 de janeiro, a Microsoft disse que os invasores provavelmente usaram um dia zero do Chrome para seus ataques. Por outro lado, a empresa de segurança sul-coreana disse que descobriu um Internet Explorer de dia zero usado para esses ataques também.
O Google não informou se o uso do CVE-2021-21148 zero-day nesses ataques. No entanto, muitos pesquisadores de segurança acreditam que há correlação entre os dois eventos.
Porém, como houve exploração da falha, os usuários regulares devem atualizar imediatamente o navegador Chrome para a versão mais recente o mais rápido possível. Isso está no menu Chrome, opção Ajuda e seção Sobre o Google Chrome. No Linux, verifique se a atualização já chegou atualizando pelo terminal com os comandos:
Antes dos patches de agora, o Google passou por um problema parecido no ano passado. Assim, corrigiu cinco falhas do dia zero do Chrome exploradas ativamente em um período de três semanas.
ZDNet