O ano mal começou e o Google corrigiu a primeira falha zero-day do Chrome de 2024. Confira os detalhes dessa falha e da correção.
Sim. O Google corrigiu a primeira falha zero-day do Chrome de 2024. O Google lançou atualizações de segurança para corrigir a primeira vulnerabilidade zero-day do Chrome explorada desde o início do ano.
Google corrigiu a primeira falha zero-day do Chrome de 2024
A empresa corrigiu o zero-day para usuários no canal Stable Desktop, com versões corrigidas sendo lançadas mundialmente para usuários de Windows (120.0.6099.224/225), Mac (120.0.6099.234) e Linux (120.0.6099.224) em menos de uma semana. depois de ser relatado ao Google.
“O Google está ciente de relatos de que existe uma exploração para CVE-2024-0519”, disse a empresa em um comunicado de segurança publicado na terça-feira.
Embora o Google diga que a atualização de segurança pode levar dias ou semanas para chegar a todos os usuários afetados, ela foi disponibilizada imediatamente quando o BleepingComputer verificou se há atualizações hoje.
Aqueles que preferem não atualizar seu navegador manualmente podem contar com o Chrome para verificar automaticamente se há novas atualizações e instalá-las após o próximo lançamento.
A vulnerabilidade zero-day de alta gravidade (CVE-2024-0519) se deve a uma fraqueza de acesso à memória fora dos limites de alta gravidade no mecanismo JavaScript do Chrome V8, que os invasores podem explorar para obter acesso a dados além da memória buffer, fornecendo-lhes acesso a informações confidenciais ou provocando uma falha.
O MITRE explica que:
“O sentinela esperado pode não estar localizado na memória fora dos limites, fazendo com que dados excessivos sejam lidos, levando a uma falha de segmentação ou estouro de buffer. O produto pode modificar um índice ou executar aritmética de ponteiro que faz referência a um local de memória que está fora dos limites do buffer. Uma operação de leitura subsequente produz resultados indefinidos ou inesperados.”
Além do acesso não autorizado à memória fora dos limites, o CVE-2024-0519 também pode ser explorado para contornar mecanismos de proteção como o ASLR, para facilitar a execução do código por meio de outra fraqueza.
Embora o Google saiba das explorações zero-day CVE-2024-0519 usadas em ataques, a empresa ainda não compartilhou mais detalhes sobre esses incidentes.
O Google disse que:
“O acesso a detalhes e links de bugs pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção. Também manteremos restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos dependem de forma semelhante, mas ainda não foram corrigidos.”
Agora, o Google também corrigiu falhas de gravação fora dos limites do V8 (CVE-2024-0517) e confusão de tipo (CVE-2024-0518), permitindo a execução arbitrária de código em dispositivos comprometidos.
No ano passado, o Google corrigiu oito bugs zero-day do Chrome explorados em ataques rastreados como CVE-2023-7024 , CVE-2023-6345 , CVE-2023-5217 , CVE-2023-4863 , CVE -2023-3079 , CVE-2023- 4762 , CVE-2023-2136 e CVE-2023-2033.
Alguns deles, como o CVE-2023-4762, foram marcados como zero-day usados para implantar spyware em dispositivos vulneráveis pertencentes a usuários de alto risco, incluindo jornalistas, políticos da oposição e dissidentes, várias semanas depois que a empresa lançou patches.