Explorada em ataques, o Google corrigiu a nona falha zero-day no Chrome deste ano. Confira os detalhes dessa vulnerabilidade e da atualização.
O Google lançou uma nova atualização de segurança de emergência do Chrome para corrigir uma vulnerabilidade zero-day marcada como explorada em ataques.
Google corrigiu a nona falha zero-day no Chrome deste ano
Esta vulnerabilidade zero-day de alta gravidade é causada por uma fraqueza de confusão de tipos no mecanismo JavaScript V8 do Chrome. Pesquisadores de segurança do Microsoft Threat Intelligence Center (MSTIC) e do Microsoft Security Response Center (MSRC) relataram isso na segunda-feira.
“O Google está ciente de que existe um exploit para CVE-2024-7971”, disse a empresa em um comunicado publicado na quarta-feira.
Embora essas falhas de segurança possam comumente permitir que invasores acionem travamentos do navegador depois que os dados alocados na memória são interpretados como um tipo diferente, eles também podem explorá-los para execução de código arbitrário em dispositivos alvos que executam navegadores sem patches.
O Google corrigiu o dia zero com o lançamento de 128.0.6613.84/.85 para Windows/macOS e 128.0.6613.84 (Linux), versões que serão lançadas para todos os usuários no canal Stable Desktop nas próximas semanas.
Embora o Chrome seja atualizado automaticamente quando patches de segurança estiverem disponíveis, os usuários também podem acelerar o processo acessando o menu do Chrome > Ajuda > Sobre o Google Chrome, deixando a atualização terminar e clicando no botão “Reiniciar” para instalá-lo.
A atualização estava imediatamente disponível quando você procura por novas atualizações.
Embora o Google tenha confirmado que a vulnerabilidade CVE-2024-7971 foi usada em ataques, a empresa ainda não compartilhou informações adicionais sobre a exploração in-the-wild.
“O acesso a detalhes e links de bugs pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção”, disse o Google.
“Também manteremos restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos dependem de forma semelhante, mas ainda não foram corrigidos.”
CVE-2024-7971 é o nono patch zero-day do Chrome feito pelo Google em 2024, explorado na natureza ou no concurso de hackers Pwn2Own:
- CVE-2024-0519: Uma fraqueza de acesso à memória fora dos limites de alta gravidade dentro do mecanismo JavaScript do Chrome V8, permitindo que invasores remotos explorem a corrupção de heap por meio de uma página HTML especialmente criada, levando ao acesso não autorizado a informações confidenciais.
- CVE-2024-2887: Uma falha de confusão de tipo de alta gravidade no padrão WebAssembly (Wasm). Pode levar a explorações de execução remota de código (RCE) aproveitando uma página HTML criada.
- CVE-2024-2886: Uma vulnerabilidade de uso após liberação na API WebCodecs usada por aplicativos da web para codificar e decodificar áudio e vídeo. Atacantes remotos exploraram-no para executar leituras e gravações arbitrárias por meio de páginas HTML criadas, levando à execução remota de código.
- CVE-2024-3159: Uma vulnerabilidade de alta gravidade causada por uma leitura fora dos limites no mecanismo JavaScript do Chrome V8. Atacantes remotos exploraram essa falha usando páginas HTML especialmente criadas para acessar dados além do buffer de memória alocado, resultando em corrupção de heap que poderia ser aproveitada para extrair informações confidenciais.
- CVE-2024-4671: Uma falha de uso após liberação de alta gravidade no componente Visuals que manipula a renderização e exibição de conteúdo no navegador.
- CVE-2024-4761: Um problema de gravação fora dos limites no mecanismo JavaScript V8 do Chrome, que é responsável por executar código JS no aplicativo.
- CVE-2024-4947: Fraqueza de confusão de tipos no mecanismo JavaScript do Chrome V8, permitindo a execução de código arbitrário no dispositivo de destino.
- CVE-2024-5274: Uma confusão de tipos no mecanismo JavaScript V8 do Chrome que pode levar a travamentos, corrupção de dados ou execução arbitrária de código