Google Chrome 85 corrigiu a falha de execução de código WebGL

E o Google Chrome 85 corrigiu a falha de execução de código WebGL. Conheça melhor essa tecnologia e os detalhes desse problema.

WebGL é uma API JavaScript usada por navegadores compatíveis para renderizar gráficos 2D e 3D interativos sem usar plug-ins.

O Google corrigiu um bug use-after-free no componente WebGL (Web Graphics Library) do navegador Google Chrome que poderia levar à execução arbitrária de código no contexto do processo do navegador após uma exploração bem-sucedida.

Uma correção para esta vulnerabilidade de execução de código já está incluída no canal de lançamento Beta do Google Chrome e também chegará ao canal Stable com o lançamento do Google Chrome 85.0.4149.0 que será lançado amanhã de acordo com o cronograma de lançamento do Chrome.

Google Chrome 85 corrigiu a falha de execução de código WebGL

Google Chrome 85 corrigiu a falha de execução de código WebGL
Google Chrome 85 corrigiu a falha de execução de código WebGL

O problema de segurança de execução de código descoberto pelo engenheiro de pesquisa sênior da Cisco Talos, Marcin Towalski, é rastreado como CVE-2020-6492 e recebeu uma pontuação CVSSv3 de 8,3 de alta severidade.

A vulnerabilidade dispara uma falha quando o componente WebGL falha em manipular objetos na memória corretamente.

“Esta vulnerabilidade está no ANGLE, uma camada de compatibilidade entre OpenGL e Direct3D usada no Windows pelo navegador Chrome e outro projeto”, explica o comunicado de segurança Cisco Talos.

“Com a manipulação adequada do layout da memória, um invasor pode obter controle total dessa vulnerabilidade de uso após liberação, que pode levar à execução arbitrária de código no contexto do navegador.”

CVE-2020-6492 afeta o Google Chrome 81.0.4044.138 (Estável), 84.0.4136.5 (Dev) e 84.0.4143.7 (Canário), e foi relatado ao Google em 19 de maio.

Versões estáveis ​​anteriores do Google Chrome (Chrome 84 e Chrome 83) abordaram 38 vulnerabilidades cada, incluindo problemas de segurança classificados como críticos e de alta gravidade.

O Chrome 84 também apresentou maior proteção contra downloads de conteúdo misto, golpes de notificação do navegador, bem como a remoção de protocolos TLS inseguros (ou seja, TLS 1.0 e 1.1).

A versão anterior, Chrome 83, fornecia aos usuários grandes melhorias de segurança e privacidade, incluindo uma seção de configurações de “Privacidade e segurança” redesenhada, um novo recurso de Verificação de segurança, um novo recurso de Navegação segura aprimorada, melhor controle sobre cookies, configurações de DoH aprimoradas e Mais.

O Google não lançou a versão 82 do Chrome, decidindo, em vez disso, pular essa versão devido à pandemia em andamento e lançar todas as suas alterações no próximo lançamento.

O que está sendo falado no blog

Post Views: 211
Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.