É hora de atualizar o Chrome e, mais uma vez, pelo terceiro mês consecutivo, o Google corrigiu dois bugs de ‘dia zero’ anteriormente desconhecidos no navegador de desktop mais popular do mundo. O Google revelou que corrigiu as duas falhas de dia zero de alta gravidade nas notas de lançamento para o lançamento estável do Chrome versão 95.0.4638.69 para Windows, Mac e Linux. Qualquer número de versão superior a esse terá as correções.
É uma boa ideia verificar a página de suporte do Google para atualizações do Chrome, que explica como o Chrome pode ser configurado para atualizar automaticamente quando os patches estiverem disponíveis. Caso contrário, o Chrome tem um botão ‘Atualizar’ que é colorido em vermelho se uma atualização tiver pelo menos uma semana, indicando que deve ser instalada.
As duas falhas de dia zero – que estão sendo exploradas por invasores agora – estão sendo rastreadas com os identificadores CVE-2021-38000 e CVE-2021-38003. Ambos foram encontrados pelo Threat Analysis Group (TAG) do Google, que rastreia atividades de exploração patrocinadas pelo estado e cibercriminosas.
O segundo dos dois dias zero também foi relatado por Samuel Groß do Google Project Zero em 26 de outubro, indicando a rapidez com que o Google está respondendo às descobertas de dia zero.
CVE-2021-38000 é uma falha de projeto devido à “validação insuficiente de entrada não confiável nas intenções”. Foi relatado pelo TAG em 15 de setembro.
Google corrige duas falhas graves de dia zero no Chrome
CVE-2021-38003 – uma falha de corrupção de memória, de acordo com o rastreador de dia zero do Google Project Zero – é descrito vagamente como “implementação inadequada no V8”. O V8 é o poderoso mecanismo JavaScript do Chrome que Groß espera reforçar com proteções de sandbox adicionais. Como ele observou em sua proposta , os bugs do V8 permitem que os invasores criem “exploits excepcionalmente poderosos” que são difíceis de mitigar com as tecnologias de segurança existentes.
“O Google está ciente de que existem exploits para CVE-2021-38000 e CVE-2021-38003”, disse o Google em notas de lançamento. A atualização será lançada nos próximos dias ou semanas, de acordo com o Google.
Existem oito correções de segurança, principalmente relacionadas à memória, nesta atualização do Chrome. As falhas de alta gravidade listadas atualmente incluem um uso pós-livre no Sign-in, outro uso pós-livre na coleta de lixo do Chrome, validação de dados insuficiente na página Nova guia do Chrome, uma confusão de tipo no V8 e um uso depois -gratuito no Web Transport.
Este lançamento do Chrome marca a 14ª falha de dia zero que o Google corrigiu no Chrome este ano. O dia 10 foi em meados de setembro, quando corrigiu dois dias-zero. Consertou mais dois dias-zero no final de setembro e mais dois na quinta-feira.
O Google não atribuiu as explorações a nenhum grupo de hackers.
O fato de o Google ter corrigido um número incomumente alto de falhas de dia zero no Chrome em 2021 pode ser interpretado de várias maneiras. Quanto mais coisas são descobertas e mais rapidamente corrigidas por meio de atualizações, isso é bom para os usuários finais. Uma vez corrigido, o exploit é menos valioso. Isso pode significar que os defensores estão ficando melhores em detectar dias-zero.
Por outro lado, o Google Project Zero viu um aumento em zero-day afetando plataformas importantes como Chrome, Windows e iOS no ano passado. A razão para isso poderia ser a comercialização do mercado de exploits de dia zero, fornecendo um atalho para a aquisição de exploits que, de outra forma, requerem habilidades para se desenvolver.
Via ZDNet