Google lançou uma atualização de segurança para o Chrome, solucionando uma vulnerabilidade crítica, catalogada como CVE-2024-10487. Esta falha foi inicialmente identificada pela equipe de Engenharia e Arquitetura de Segurança da Apple (SEAR) e relatada em 23 de outubro de 2024.
A falha de segurança reside em um problema de gravação fora dos limites (out-of-bounds write) na implementação Dawn. Dawn é uma implementação de código aberto do padrão WebGPU, projetada para funcionar como uma parte essencial de sistemas maiores e é a base da tecnologia WebGPU no Chromium. Esta tecnologia possibilita a interface com o hardware gráfico do dispositivo para renderizações mais rápidas e complexas na web.
Atualizações e correções de vulnerabilidades do Chrome 130
Embora ainda não se saiba se a vulnerabilidade foi explorada em ataques no mundo real, a rapidez no lançamento do patch demonstra a seriedade da ameaça potencial. Além disso, outra vulnerabilidade de alta gravidade, registrada como CVE-2024-10488, foi corrigida. Esta última falha foi reportada por Cassidy Kim (@cassidy6564) em 18 de outubro de 2024 e refere-se a um problema de uso após liberação (use-after-free) no WebRTC, a tecnologia de comunicação em tempo real usada pelo navegador.
Ambas as falhas foram abordadas na atualização Chrome 130, cuja versão estável foi liberada para Windows, Mac e Linux. O comunicado oficial da Google indica que as versões 130.0.6723.91 e 130.0.6723.92 foram implementadas para diferentes plataformas e que a atualização será disponibilizada gradualmente ao longo das próximas semanas.
Assim como em outras atualizações de segurança, detalhes específicos das falhas e links associados permanecerão restritos até que a maioria dos usuários tenha concluído a atualização, medida que visa prevenir possíveis ataques antes que os dispositivos estejam protegidos.
Esse cenário destaca o Chrome como um alvo constante de ataques, com várias vulnerabilidades zero-day exploradas por agentes maliciosos. Em agosto de 2024, Google lançou uma correção para uma outra vulnerabilidade zero-day, identificada como CVE-2024-7965, com pontuação CVSS de 8,8, que explorava uma implementação inadequada no motor V8 JavaScript do Chrome.