Bug Zero-Day do Chrome com exploit in the wild recebeu um patch

O Bug Zero-Day do Chrome com exploit in the wild recebeu um patch, e em breve, os usuários receberão essa correção. Confira os detalhes das ameaças.

O Google Chrome ainda é o navegador mais usado no planeta, e isso o torna uma das mais importantes ferramentas de controle da web para o Google.

Bug Zero-Day do Chrome com exploit in the wild recebeu um patch
Bug Zero-Day do Chrome com exploit in the wild recebeu um patch

E o Chrome continua crescendo e sendo atualizado constantemente.

Bug Zero-Day do Chrome com exploit in the wild recebeu um patch

Na última quinta-feira à noite o Google começou a lançar uma atualização para o Chrome que corrige duas vulnerabilidades use-after-free, uma delas com pelo menos uma exploração na natureza.

De acordo com um alerta da Agência de Segurança em Segurança e Infraestrutura (CISA), os dois problemas de segurança são sérios, pois podem ser aproveitados para assumir o controle de um sistema vulnerável.

O Google diz estar ciente de que uma das falhas é um exploit in the wild. Este bug recebeu o número de rastreamento CVE-2019-13720 e está no componente de áudio do navegador web.

Os pesquisadores de malware da Kaspersky Lab, Anton Ivanov, chefe da equipe de pesquisa e detecção de ameaças avançadas, e Alexey Kulaev, analista sênior de malware, são creditados por reportarem a vulnerabilidade no dia 29 de outubro.
 
Uma segunda vulnerabilidade use-after-free, identificada como CVE-2019-13721, foi relatada em 12 de outubro pelo caçador de bugs bananapenguin, que recebeu uma recompensa de U$$ 7.500.

Um efeito direto de acionar uma vulnerabilidade use-after-free (UAF) geralmente é uma falha, mas em determinadas circunstâncias, esse tipo de problema de corrupção de memória pode ser explorado para executar código arbitrário.


Aproveitar esses bugs não é fácil. Eles ocorrem quando um programa continua usando um ponteiro para a memória que já foi liberada.

O Open Web Application Security Project (OWASP) lista as seguintes causas de uma falha do UAF, que também são válidas para outros problemas relacionados à memória, como erros de liberação dupla e vazamentos:

  • Condições de erro e outras circunstâncias excepcionais
  • Confusão sobre qual parte do programa é responsável por liberar a memória

Detalhes para os bugs não estão disponíveis publicamente no momento. Como regra, o Google restringe o acesso a essas informações até que o patch seja instalado para a maioria dos usuários.

O nível de gravidade para ambas as vulnerabilidades é considerado alto e uma correção é fornecida com o Google Chrome 78.0.3904.87, disponível para usuários de Windows, Mac e Linux.

A atualização alcançará toda a base de usuários do navegador nos próximos dias, possivelmente semanas, informa o Google em uma postagem no blog.

O que está sendo falado no blog

No Post found.

Post Views: 410
Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.