O Google lançou uma atualização de segurança de emergência para o navegador Chrome para corrigir uma vulnerabilidade crítica, rastreada como CVE-2024-5274. Esta marca a oitava falha de zero-day ativamente explorada descoberta no Chrome este ano, e a terceira só neste mês.
A vulnerabilidade é um problema de “confusão de tipo” de alta gravidade no motor JavaScript V8 do Chrome. Isso poderia permitir que os invasores executassem código arbitrário no sistema de um usuário. O Google confirmou que um exploit para essa falha existe em estado selvagem.
Embora os detalhes técnicos sobre a vulnerabilidade permaneçam não divulgados para proteger os usuários, o Google diz que uma correção já está disponível para o canal Stable do Chrome no Windows, Mac e Linux. É importante verificar se há atualizações no seu navegador agora e instalar a atualização prontamente, bem como reiniciar seus navegadores para garantir a proteção.
Muitos dos zero-days que foram corrigidos este ano permitem a execução de código arbitrário em várias circunstâncias. Isso significa que as vulnerabilidades servem como um caminho para atores maliciosos executarem código, como malware, em seu navegador e em seu computador.
Esta última correção ocorre em meio à recente decisão do Google de reduzir a frequência das atualizações de segurança do Chrome de duas vezes para uma vez por semana. Certifique-se de baixar a atualização se ainda não o fez.
Detalhando todas as vulnerabilidades do Google Chrome corrigidas a toque de caixa!
A vulnerabilidade foi descoberta pelos pesquisadores do Google, Clément Lecigne e Brendon Tiszka. Uma vulnerabilidade de “confusão de tipo” ocorre quando um programa manipula incorretamente variáveis de um tipo como se fossem de outro tipo. Isso pode acontecer devido a falhas na verificação de tipo, casting ou outras operações envolvendo tipos de variáveis, levando a comportamentos imprevisíveis e potenciais riscos de segurança. O Google abordou o problema com o lançamento da versão 125.0.6422.112/.113 para Windows e Mac, enquanto os usuários de Linux receberão a atualização na versão 125.0.6422.112 a qualquer momento. A lista de vulnerabilidades de zero-day exploradas ativamente no navegador Chrome que foram corrigidas este ano inclui:
- CVE-2024-0519: um acesso à memória fora dos limites no motor JavaScript do Chrome (Janeiro de 2024).
- CVE-2024-2887: um problema de confusão de tipo que reside no WebAssembly. Manfred Paul demonstrou a vulnerabilidade durante o Pwn2Own 2024 (Março de 2024).
- CVE-2024-2886: um problema de uso após liberação que reside nos WebCodecs. A falha foi demonstrada por Seunghyun Lee (@0x10n) do KAIST Hacking Lab durante o Pwn2Own 2024 (Março de 2024).
- CVE-2024-3159: um acesso à memória fora dos limites no motor JavaScript V8. A falha foi demonstrada por Edouard Bochin (@le_douds) e Tao Yan (@Ga1ois) da Palo Alto Networks durante o Pwn2Own 2024 em 22 de março de 2024 (Março de 2024).
- CVE-2024-4671: um problema de uso após liberação que reside no componente Visuals (Maio de 2024).
- CVE-2024-4761: um problema de escrita fora dos limites que reside no motor JavaScript V8 (Maio de 2024).
- CVE-2024-4947: um problema de confusão de tipo que reside no motor JavaScript V8 (Maio de 2024).
A vulnerabilidade CVE-2024-4947 é o terceiro zero-day explorado ativamente divulgado este mês, após o CVE-2024-4671 e o CVE-2024-4947.