O Google informou que foi corrigida uma falha zero-day que era explorada ativamente no Chrome. Confira os detalhes dessa ameaça.
O Google abordou uma vulnerabilidade de segurança de dia zero ativamente explorada na versão do Chrome 88.0.4324.150 lançada hoje, 4 de fevereiro de 2020, para o canal de desktop Stable para usuários do Windows, Mac e Linux.
Corrigida uma falha zero-day que era explorada ativamente no Chrome
A vulnerabilidade classificada pelo Google como alta gravidade está sendo rastreada como CVE-2021-21148 e foi relatada por Mattias Buelens em 24 de janeiro de 2021.
“O Google está ciente de relatos de que existe um exploit para CVE-2021-21148”, diz o anúncio do Google Chrome 88.0.4324.150.
A Microsoft divulgou em 28 de janeiro que um grupo de hackers apoiado pelo governo norte-coreano rastreado como ZINC ‘provável’ usou uma cadeia de exploração do navegador Chrome (com exploits de dia zero ou patch gap) para atacar os pesquisadores de vulnerabilidade.
O dia zero é descrito como um bug de estouro de buffer de heap no V8, mecanismo WebAssembly e JavaScript de alto desempenho baseado em código aberto e C++ do Google.
Embora os estouros de buffer geralmente causem travamentos, eles também podem ser explorados por invasores para executar códigos arbitrários em sistemas que executam softwares vulneráveis.
Todos devem atualizar
Esta versão será lançada para toda a base de usuários durante os próximos dias/semanas. Os usuários de desktop do Windows, Mac e Linux podem atualizar para o Chrome 88 em Configurações -> Ajuda -> Sobre o Google Chrome.
O navegador da web Google Chrome irá então verificar automaticamente se há uma nova atualização e instalá-la quando disponível.
Sem detalhes sobre ataques que exploram a falha zero-day no Chrome
Embora o Google diga que “está ciente de relatos de que existe um exploit para o CVE-2020-16009”, a empresa não forneceu detalhes sobre os agentes de ameaça por trás desses ataques.
“O acesso aos detalhes e links do bug pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção”, acrescenta o Google.
“Também manteremos as restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos dependam, mas ainda não foram corrigidos.”
Isso deve fornecer aos usuários do Chrome mais tempo para instalar a atualização de segurança lançada hoje e evitar que os invasores criem outras explorações visando esse bug de dia zero.
No ano passado, o Google corrigiu cinco dias zero do Chrome explorados ativamente em ambiente selvagem, todos em um único mês, entre 20 de outubro e 12 de novembro.