Falha de segurança

Dia Zero no Google Chrome: nova atualização é lançada as pressas

Segurança em primeiro lugar: Google corrige o oitavo zero-day ativamente explorado este ano!

Emanuel Negromonte
google-corrige-vulnerabilidade-do-chrome-explorada-em-ataques
  • Alerta de Segurança: Google lança atualização de emergência para corrigir a oitava vulnerabilidade zero-day ativamente explorada no Chrome este ano.
  • Detalhes Técnicos: A vulnerabilidade é um problema de “confusão de tipo” de alta gravidade no motor JavaScript V8 do Chrome.
  • Ação Imediata: Os usuários são aconselhados a verificar se há atualizações em seus navegadores agora e instalar a atualização prontamente.
  • Proteção Proativa: O Google continua comprometido em fornecer atualizações de segurança regulares para proteger os usuários contra ameaças emergentes.

O Google lançou uma atualização de segurança de emergência para o navegador Chrome para corrigir uma vulnerabilidade crítica, rastreada como CVE-2024-5274. Esta marca a oitava falha de zero-day ativamente explorada descoberta no Chrome este ano, e a terceira só neste mês.

A vulnerabilidade é um problema de “confusão de tipo” de alta gravidade no motor JavaScript V8 do Chrome. Isso poderia permitir que os invasores executassem código arbitrário no sistema de um usuário. O Google confirmou que um exploit para essa falha existe em estado selvagem.

Embora os detalhes técnicos sobre a vulnerabilidade permaneçam não divulgados para proteger os usuários, o Google diz que uma correção já está disponível para o canal Stable do Chrome no Windows, Mac e Linux. É importante verificar se há atualizações no seu navegador agora e instalar a atualização prontamente, bem como reiniciar seus navegadores para garantir a proteção.

Muitos dos zero-days que foram corrigidos este ano permitem a execução de código arbitrário em várias circunstâncias. Isso significa que as vulnerabilidades servem como um caminho para atores maliciosos executarem código, como malware, em seu navegador e em seu computador.

Esta última correção ocorre em meio à recente decisão do Google de reduzir a frequência das atualizações de segurança do Chrome de duas vezes para uma vez por semana. Certifique-se de baixar a atualização se ainda não o fez.

Detalhando todas as vulnerabilidades do Google Chrome corrigidas a toque de caixa!

A vulnerabilidade foi descoberta pelos pesquisadores do Google, Clément Lecigne e Brendon Tiszka. Uma vulnerabilidade de “confusão de tipo” ocorre quando um programa manipula incorretamente variáveis de um tipo como se fossem de outro tipo. Isso pode acontecer devido a falhas na verificação de tipo, casting ou outras operações envolvendo tipos de variáveis, levando a comportamentos imprevisíveis e potenciais riscos de segurança. O Google abordou o problema com o lançamento da versão 125.0.6422.112/.113 para Windows e Mac, enquanto os usuários de Linux receberão a atualização na versão 125.0.6422.112 a qualquer momento. A lista de vulnerabilidades de zero-day exploradas ativamente no navegador Chrome que foram corrigidas este ano inclui:

  • CVE-2024-0519: um acesso à memória fora dos limites no motor JavaScript do Chrome (Janeiro de 2024).
  • CVE-2024-2887: um problema de confusão de tipo que reside no WebAssembly. Manfred Paul demonstrou a vulnerabilidade durante o Pwn2Own 2024 (Março de 2024).
  • CVE-2024-2886: um problema de uso após liberação que reside nos WebCodecs. A falha foi demonstrada por Seunghyun Lee (@0x10n) do KAIST Hacking Lab durante o Pwn2Own 2024 (Março de 2024).
  • CVE-2024-3159: um acesso à memória fora dos limites no motor JavaScript V8. A falha foi demonstrada por Edouard Bochin (@le_douds) e Tao Yan (@Ga1ois) da Palo Alto Networks durante o Pwn2Own 2024 em 22 de março de 2024 (Março de 2024).
  • CVE-2024-4671: um problema de uso após liberação que reside no componente Visuals (Maio de 2024).
  • CVE-2024-4761: um problema de escrita fora dos limites que reside no motor JavaScript V8 (Maio de 2024).
  • CVE-2024-4947: um problema de confusão de tipo que reside no motor JavaScript V8 (Maio de 2024).

A vulnerabilidade CVE-2024-4947 é o terceiro zero-day explorado ativamente divulgado este mês, após o CVE-2024-4671 e o CVE-2024-4947.

TAGGED:
Share This Article
Por Emanuel Negromonte
Follow:
Jornalista. Acredita no poder do trabalho colaborativo, no GNU/Linux, Software livre e código aberto. É possível tornar tudo mais simples quando trabalhamos juntos, e tudo mais difícil quando nos separamos.
Sair da versão mobile