48 3052-8500

Atualização de emergência do Chrome corrige falha de dia zero - OSTEC | Segurança digital de resultados

Geral 2min de Leitura - 01 de novembro de 2021

Atualização de emergência do Chrome corrige falha de dia zero

Google chrome

This post is also available in: Português

O Google lançou o Chrome 95.0.4638.69 para Windows, Mac e Linux para corrigir duas vulnerabilidades de dia zero, que os invasores exploraram ativamente.

No lançamento da lista de correções de segurança do Chrome, lançada na quinta-feira (28), o Google revelou que está ciente de que existem exploits para CVE-2021-38000 e CVE-2021-28003.

Embora o Google afirme que a nova versão pode levar algum tempo para chegar a todos, a atualização já começou a lançar o Chrome 95.0.4638.69 para usuários em todo o mundo.

Para instalar a atualização do Chrome imediatamente, basta seguir o seguinte passo a passo:

  • Vá para o menu do Chrome > Ajuda > Sobre o Google Chrome

Assim, o navegador começará a realizar a atualização.

atualização

O Chrome também verificará se há atualizações disponíveis e as instalará na próxima vez que o navegador for reiniciado.

Ataques de dia zero não divulgados

A nova atualização do Chrome corrige um total de sete vulnerabilidades, com duas sendo de dia zero.

O primeiro dia zero, rastreado como CVE-2021-38000, é descrito como uma “Validação insuficiente de entrada não confiável”, e recebeu um nível de severidade alto. Essa vulnerabilidade foi descoberta por Clement Lecigne, Neel Mehta e Maddie Stone, do Google Threat Analysis Group, no dia 15 de setembro de 2021.

O segundo dia zero, rastreado como CVE-2021-38003, é um bug de “Implementação inadequada” de alta gravidade no mecanismo de JavaScript V8 do Chrome. Essa vulnerabilidade também foi descoberta por Lecigne e relatada em 24 de outubro.

Não foram fornecidos mais detalhes sobre como os agentes de ameaças usaram as vulnerabilidades nos ataques. Porém, como o próprio Google descobriu as vulnerabilidades, poderemos ter os detalhes nos futuros relatórios do Google TAG ou Project Zero.

Como essas duas vulnerabilidades foram usadas em ataques, sugere-se que todos os usuários do Chrome façam uma atualização manual ou reiniciem o navegador para instalar a versão mais recente.

15 dias zero apenas em 2021

Com essas correções, sobe para 15 o total de vulnerabilidades de dia zero do Chrome corrigidas desde o início de 2021.

Confira as outras 13 vulnerabilidades de dia zero que foram corrigidas neste ano:

  • CVE-2021-21148 – 4 de fevereiro de 2021
  • CVE-2021-21166 – 2 de março de 2021
  • CVE-2021-21193 – 12 de março de 2021
  • CVE-2021-21220 – 13 de abril de 2021
  • CVE-2021-21224 – 20 de abril de 2021
  • CVE-2021-30551 – 9 de junho de 2021
  • CVE-2021-30554 – 17 de junho de 2021
  • CVE-2021-30563 – 15 de julho de 2021
  • CVE-2021-30632 e CVE-2021-30633 – 13 de setembro
  • CVE-2021-37973 – 24 de setembro de 2021
  • CVE-2021-37976 e CVE-2021-37975 – 30 de setembro de 2021

Como o Google está lançando atualizações do Chrome para corrigir vulnerabilidades de dia zero conforme elas são relatadas, recomenda-se que os usuários não bloqueiem as atualizações e instalem novas versões assim que estiverem disponíveis.

This post is also available in: Português

OWASP atualiza classificação das 10 principais vulnerabilidades

Postagem anterior