This post is also available in: Português Español
Especialistas em segurança cibernética emitiram uma atualização de emergência do Google Chrome para sua versão mais recente devido a uma vulnerabilidade de dia zero, a nona do ano, sendo explorada ativamente.
A vulnerabilidade, que está sendo rastreada como CVE-2022-4262, é uma falha de Type Confusion altamente crítica no mecanismo JavaScript V8 do Chrome, e foi relatada por Clement Lecigne, da TAG do Google, em 29 de novembro.
O Google confirmou a existência de um exploit que os cibercriminosos podem usar contra o recém-divulgado dia zero do Chrome.
Os cibercriminosos que exploram a vulnerabilidade do Chrome podem executar ataques baseados em RCE, exibindo código não confiável de uma página maliciosa, resultando em ataques arbitrários de execução de código.
Além disso, o dia zero do Chrome pode permitir que um invasor remoto explore potencialmente a pilha, por meio de uma página HTML especialmente criada.
Atualizações de emergência
O Google alegou ter resolvido o dia zero para diferentes plataformas de sistema operacional com a nova atualização do Google Chrome.
A empresa preparou as versões 108.0.5359.94 para Mac e Linux e a versão 108.0.5359.94/95 para Windows.
Porém, os usuários podem ter que esperar alguns dias antes que a atualização chegue até eles.
Detalhes técnicos do dia zero
Os pesquisadores do Google não compartilharam detalhes técnicos sobre a vulnerabilidade para permitir que os usuários concluam suas atualizações do Chrome. Caso contrário, se tivessem compartilhado, os cibercriminosos começariam a abusar da vulnerabilidade.
Além disso, a Agência de Segurança Cibernética e Infraestrutura (CISA) adicionou a vulnerabilidade de dia zero do Chrome ao seu catálogo de vulnerabilidades exploradas, ordenando que as agências civis e federais consertem o bug até o dia 26 de dezembro.
O nono dia zero do Chrome em 2022
Apenas nesse ano, foram nove vulnerabilidades de dia zero no Chrome.
O Google avia anunciado a oitava vulnerabilidade de dia zero há apenas duas semanas atrás, e agora anuncia a nona.
Confira quais foram os dias zero do Chrome desse ano:
- CVE-2022-4135 – anunciada em 25 de novembro: problema de estouro de buffer de pilha na GPU;
- CVE-2022-3723 – anunciada em 28 de outubro: problema de Type Confusion que reside no mecanismo JavaScript V8;
- CVE-2022-3075 – anunciado em 2 de setembro: validação insuficiente de dados na coleção Mojo de bibliotecas de tempo de execução;
- CVE-2022-2856 – anunciado em 17 de agosto: validação insuficiente de entrada não confiável;
- CVE-2022-2294 – anunciado em 4 de julho: estouro de buffer de pilha no componente Web Real-Time Communications (WebRTC);
- CVE-2022-1364 – anunciado em 14 de abril: problema de Type Confusion que reside no mecanismo JavaScript V8;
- CVE-2022-1096 – anunciado em 25 de março: Type confusion no mecanismo JavaScript V8;
- CVE-2022-0609 – anunciado em 14 de fevereiro: problema no componente animação;
Todas elas já foram corrigidas, e a atualização para a vulnerabilidade de dia zero mais recente já está disponível e é obrigatório para eliminar qualquer ameaça representada pelo exploit.
Fontes: Google Blog, Security Affairs, The Record.
This post is also available in: Português Español
