Falha do Google Chrome permite sequestro do navegador

Imagem com a logomarca do Google Chrome

Uma falha do Google Chrome permite sequestro do navegador. A última atualização de canal estável para Google Chrome, versão 120.0.6099.199 para Mac e Linux e 120.0.6099.199/200 para Windows, já está disponível e será lançada em breve para todos os usuários. Além disso, o canal Extended Stable foi atualizado para 120.0.6099.200 para Windows e 120.0.6099.199 para Mac.

Falha corrigida no navegador Google Chrome

Existem seis correções de segurança nesta versão. Três dessas falhas permitiram que um invasor assumisse o controle de um navegador por meio de condições de uso após liberação. Use-after-free é uma condição na qual a alocação de memória é liberada, mas o programa não limpa o ponteiro para essa memória. Isso se deve ao uso incorreto da alocação dinâmica de memória durante uma operação.

falha-do-google-chrome-permite-sequestro-do-navegador

CVE-2024-0222: Use Após Liberação Em ANGLE

O uso pós-liberação no ANGLE no Google Chrome apresenta uma vulnerabilidade de alta gravidade que pode ter levado um invasor remoto a comprometer o processo de renderização e usar uma página HTML criada para explorar a corrupção de heap. O Google concedeu US$ 15.000 (cerca de R$ 73 mil) a Toan (suto) Pham da Qrious Secure por relatar esta vulnerabilidade.

CVE-2024-0223: Estouro De Buffer De Heap Em ANGLE

Essa falha de alta gravidade era um estouro de buffer de heap no ANGLE que poderia ter sido explorado por um invasor remoto usando uma página HTML criada para causar corrupção de heap. Toan (suto) Pham e Tri Dang da Qrious Secure receberam uma recompensa de US$ 15.000 (cerca de 73 mil) do Google por descobrirem esta vulnerabilidade.

CVE-2024-0224: Use Depois Gratuitamente No WebAudio

Um uso de alta severidade após a liberação no WebAudio no Google Chrome pode permitir que um invasor remoto explore a corrupção de heap por meio de uma página HTML manipulada. O Google concedeu a Huang Xilin, do Ant Group Light-Year Security Lab, uma recompensa de US$ 10.000 (cerca de R$ 48,7 mil) por encontrar esse problema.

CVE-2024-0225: Use Depois De Gratuito Em WebGPU

Um invasor remoto pode ter conseguido explorar a corrupção de heap por meio de uma página HTML especificamente projetada devido à vulnerabilidade de alta gravidade no uso do Google após a liberação no WebGPU. Os detalhes sobre o relator desta vulnerabilidade foram mencionados como anônimos.

As condições de uso após free existiam no Google Chrome antes da versão 120.0.6099.199. Para evitar a exploração dessas vulnerabilidades, o Google aconselha os usuários a atualizarem para a versão mais recente do Google Chrome.