Google corrige sétima vulnerabilidade de zero dia no Chrome

Bug do Chrome atrapalha o armazenamento de arquivos na nuvem

O Google acaba de lançar uma atualização de segurança de emergência para o navegador Chrome para desktop. Essa atualização foi lançada para resolver uma única vulnerabilidade conhecida por ser explorada em ataques.

Vulnerabilidade explorada no Google Chrome

A falha de alta gravidade (CVE-2022-3723) é um bug de confusão de tipos no mecanismo JavaScript do Chrome V8 descoberto e relatado ao Google por analistas da Avast. “O Google está ciente dos relatos de que existe um exploit para o CVE-2022-3723”, destaca o aviso.

A empresa não fornece muitos detalhes sobre a vulnerabilidade por motivos de segurança, permitindo que a base de usuários do Chrome tenha tempo suficiente para atualizar o navegador da Web para a versão 107.0.5304.87/88, que resolve o problema. A empresa diz que “o acesso a detalhes e links de bugs pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção”.

“Também reteremos restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos também dependem, mas ainda não foram corrigidos”, acrescentou o Google.

Em geral, as vulnerabilidades de confusão de tipo ocorrem quando o programa aloca um recurso, objeto ou variável usando um tipo e o acessa usando um tipo diferente e incompatível, resultando em acesso à memória fora dos limites. Ao acessar regiões de memória que não deveriam ser alcançadas a partir do contexto do aplicativo, um invasor pode ler informações confidenciais de outros aplicativos, causar falhas ou executar código arbitrário.

O Google não esclarece o nível de atividade envolvendo a exploração existente, portanto, não se sabe se os ataques usando CVE-2022-3723 são generalizados ou limitados no momento.

Como atualizar

Os usuários do Chrome podem atualizar seu navegador abrindo Configurações>Sobre o Chrome>Aguarde o download terminar>Reinicie o programa.

google-corrige-setima-vulnerabilidade-de-zero-dia-no-chrome
Imagem: Bleeping Computer

Sétimo zero dia do Chrome corrigido este ano

A versão 107.0.5304.87/88 corrige a sétima vulnerabilidade de zero dia corrigida desde o início do ano. Os seis anteriores são:

CVE-2022-3075 – 2 de setembro;
CVE-2022-2856 – 17 de agosto;
CVE-2022-2294 – 4 de julho;
CVE-2022-1364 – 14 de abril;
CVE-2022-1096 – 25 de março;
CVE-2022-0609 – 14 de fevereiro.

Em alguns casos, como o CVE-2022-0609, as falhas foram exploradas por agentes de ameaças patrocinados pelo estado por várias semanas antes que o Google as descobrisse e corrigisse.

Portanto, os usuários do Chrome são fortemente aconselhados a atualizar seus navegadores o mais rápido possível para bloquear tentativas de exploração. Inclusive, se você ainda não o fez, recomendamos que o fala agora mesmo!