O Google acaba de lançar uma atualização de segurança de emergência para o navegador Chrome para desktop. Essa atualização foi lançada para resolver uma única vulnerabilidade conhecida por ser explorada em ataques.
Vulnerabilidade explorada no Google Chrome
A falha de alta gravidade (CVE-2022-3723) é um bug de confusão de tipos no mecanismo JavaScript do Chrome V8 descoberto e relatado ao Google por analistas da Avast. “O Google está ciente dos relatos de que existe um exploit para o CVE-2022-3723”, destaca o aviso.
A empresa não fornece muitos detalhes sobre a vulnerabilidade por motivos de segurança, permitindo que a base de usuários do Chrome tenha tempo suficiente para atualizar o navegador da Web para a versão 107.0.5304.87/88, que resolve o problema. A empresa diz que “o acesso a detalhes e links de bugs pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção”.
“Também reteremos restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos também dependem, mas ainda não foram corrigidos”, acrescentou o Google.
Em geral, as vulnerabilidades de confusão de tipo ocorrem quando o programa aloca um recurso, objeto ou variável usando um tipo e o acessa usando um tipo diferente e incompatível, resultando em acesso à memória fora dos limites. Ao acessar regiões de memória que não deveriam ser alcançadas a partir do contexto do aplicativo, um invasor pode ler informações confidenciais de outros aplicativos, causar falhas ou executar código arbitrário.
O Google não esclarece o nível de atividade envolvendo a exploração existente, portanto, não se sabe se os ataques usando CVE-2022-3723 são generalizados ou limitados no momento.
Como atualizar
Os usuários do Chrome podem atualizar seu navegador abrindo Configurações>Sobre o Chrome>Aguarde o download terminar>Reinicie o programa.
Sétimo zero dia do Chrome corrigido este ano
A versão 107.0.5304.87/88 corrige a sétima vulnerabilidade de zero dia corrigida desde o início do ano. Os seis anteriores são:
CVE-2022-3075 – 2 de setembro;
CVE-2022-2856 – 17 de agosto;
CVE-2022-2294 – 4 de julho;
CVE-2022-1364 – 14 de abril;
CVE-2022-1096 – 25 de março;
CVE-2022-0609 – 14 de fevereiro.
Em alguns casos, como o CVE-2022-0609, as falhas foram exploradas por agentes de ameaças patrocinados pelo estado por várias semanas antes que o Google as descobrisse e corrigisse.
Portanto, os usuários do Chrome são fortemente aconselhados a atualizar seus navegadores o mais rápido possível para bloquear tentativas de exploração. Inclusive, se você ainda não o fez, recomendamos que o fala agora mesmo!