Explorada em ataques, o Google corrigiu a décima falha zero-day no Chrome deste ano. Confira os detalhes dessa vulnerabilidade e da atualização.
O Google revelou que corrigiu o décimo zero-day explorado na natureza em 2024 por invasores ou pesquisadores de segurança durante concursos de hacking.
Google corrigiu a décima falha zero-day no Chrome deste ano
Rastreado como CVE-2024-7965 e relatado por um pesquisador de segurança conhecido apenas como TheDog, a vulnerabilidade de alta gravidade agora corrigida é causada por um bug no backend do compilador ao selecionar as instruções a serem geradas para compilação just-in-time (JIT).
O Google descreve a vulnerabilidade como uma implementação inadequada no mecanismo JavaScript V8 do Google Chrome que pode permitir que invasores remotos explorem a corrupção de heap por meio de uma página HTML criada.
Isso foi anunciado em uma atualização de uma postagem de blog onde a empresa revelou na semana passada que havia corrigido outra vulnerabilidade de dia zero de alta gravidade (CVE-2024-7971) causada por uma fraqueza de confusão de tipo V8.
A empresa disse na atualização que:
“Atualizado em 26 de agosto de 2024 para refletir a exploração in the wild do CVE-2024-7965 que foi relatada após este lançamento. O Google está ciente de que exploits para CVE-2024-7971 e CVE-2024-7965 existem in the wild.”
O Google corrigiu ambos os zero-days no Chrome versão 128.0.6613.84/.85 para sistemas Windows/macOS e versão 128.0.6613.84 para usuários Linux, que estão sendo lançados para todos os usuários no canal Stable Desktop desde quarta-feira.
Embora o Chrome atualize automaticamente quando os patches de segurança estiverem disponíveis, você também pode acelerar esse processo e aplicar as atualizações manualmente acessando o menu Chrome > Ajuda > Sobre o Google Chrome, deixando a atualização terminar e clicando no botão “Reiniciar” para instalá-la.
Embora o Google tenha confirmado que as vulnerabilidades CVE-2024-7971 e CVE-2024-7965 foram usadas em campo, ele ainda precisa compartilhar mais informações sobre esses ataques.
“O acesso a detalhes e links de bugs pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção”, diz o Google.
“Também manteremos as restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos dependem de forma semelhante, mas ainda não foram corrigidos.”
Desde o início do ano, o Google corrigiu outros oito dias zero marcados como explorados em ataques ou durante o concurso de hacking Pwn2Own:
- CVE-2024-0519: Uma fraqueza de acesso à memória fora dos limites de alta gravidade dentro do mecanismo JavaScript do Chrome V8, permitindo que invasores remotos explorem a corrupção de heap por meio de uma página HTML especialmente criada, levando ao acesso não autorizado a informações confidenciais.
- CVE-2024-2887: Uma falha de confusão de tipo de alta gravidade no padrão WebAssembly (Wasm). Pode levar a explorações de execução remota de código (RCE) aproveitando uma página HTML criada.
- CVE-2024-2886: Uma vulnerabilidade de uso após liberação na API WebCodecs usada por aplicativos da web para codificar e decodificar áudio e vídeo. Atacantes remotos exploraram-no para executar leituras e gravações arbitrárias por meio de páginas HTML criadas, levando à execução remota de código.
- CVE-2024-3159: Uma vulnerabilidade de alta gravidade causada por uma leitura fora dos limites no mecanismo JavaScript do Chrome V8. Atacantes remotos exploraram essa falha usando páginas HTML especialmente criadas para acessar dados além do buffer de memória alocado, resultando em corrupção de heap que poderia ser aproveitada para extrair informações confidenciais.
- CVE-2024-4671: Uma falha de uso após liberação de alta gravidade no componente Visuals que manipula a renderização e exibição de conteúdo no navegador.
- CVE-2024-4761: Um problema de gravação fora dos limites no mecanismo JavaScript V8 do Chrome, que é responsável por executar código JS no aplicativo.
- CVE-2024-4947: Fraqueza de confusão de tipos no mecanismo JavaScript do Chrome V8, permitindo a execução de código arbitrário no dispositivo de destino.
- CVE-2024-5274: Uma confusão de tipos no mecanismo JavaScript V8 do Chrome que pode levar a travamentos, corrupção de dados ou execução arbitrária de código