This post is also available in: Português
O Google lançou o Chrome 95.0.4638.69 para Windows, Mac e Linux para corrigir duas vulnerabilidades de dia zero, que os invasores exploraram ativamente.
No lançamento da lista de correções de segurança do Chrome, lançada na quinta-feira (28), o Google revelou que está ciente de que existem exploits para CVE-2021-38000 e CVE-2021-28003.
Embora o Google afirme que a nova versão pode levar algum tempo para chegar a todos, a atualização já começou a lançar o Chrome 95.0.4638.69 para usuários em todo o mundo.
Para instalar a atualização do Chrome imediatamente, basta seguir o seguinte passo a passo:
- Vá para o menu do Chrome > Ajuda > Sobre o Google Chrome
Assim, o navegador começará a realizar a atualização.
O Chrome também verificará se há atualizações disponíveis e as instalará na próxima vez que o navegador for reiniciado.
Ataques de dia zero não divulgados
A nova atualização do Chrome corrige um total de sete vulnerabilidades, com duas sendo de dia zero.
O primeiro dia zero, rastreado como CVE-2021-38000, é descrito como uma “Validação insuficiente de entrada não confiável”, e recebeu um nível de severidade alto. Essa vulnerabilidade foi descoberta por Clement Lecigne, Neel Mehta e Maddie Stone, do Google Threat Analysis Group, no dia 15 de setembro de 2021.
O segundo dia zero, rastreado como CVE-2021-38003, é um bug de “Implementação inadequada” de alta gravidade no mecanismo de JavaScript V8 do Chrome. Essa vulnerabilidade também foi descoberta por Lecigne e relatada em 24 de outubro.
Não foram fornecidos mais detalhes sobre como os agentes de ameaças usaram as vulnerabilidades nos ataques. Porém, como o próprio Google descobriu as vulnerabilidades, poderemos ter os detalhes nos futuros relatórios do Google TAG ou Project Zero.
Como essas duas vulnerabilidades foram usadas em ataques, sugere-se que todos os usuários do Chrome façam uma atualização manual ou reiniciem o navegador para instalar a versão mais recente.
15 dias zero apenas em 2021
Com essas correções, sobe para 15 o total de vulnerabilidades de dia zero do Chrome corrigidas desde o início de 2021.
Confira as outras 13 vulnerabilidades de dia zero que foram corrigidas neste ano:
- CVE-2021-21148 – 4 de fevereiro de 2021
- CVE-2021-21166 – 2 de março de 2021
- CVE-2021-21193 – 12 de março de 2021
- CVE-2021-21220 – 13 de abril de 2021
- CVE-2021-21224 – 20 de abril de 2021
- CVE-2021-30551 – 9 de junho de 2021
- CVE-2021-30554 – 17 de junho de 2021
- CVE-2021-30563 – 15 de julho de 2021
- CVE-2021-30632 e CVE-2021-30633 – 13 de setembro
- CVE-2021-37973 – 24 de setembro de 2021
- CVE-2021-37976 e CVE-2021-37975 – 30 de setembro de 2021
Como o Google está lançando atualizações do Chrome para corrigir vulnerabilidades de dia zero conforme elas são relatadas, recomenda-se que os usuários não bloqueiem as atualizações e instalem novas versões assim que estiverem disponíveis.
This post is also available in: Português