E o Google corrigiu uma nova vulnerabilidade zero-day do Chrome através do lançamento do Chrome 103.0.5060.114 usuários do Windows.
O Chrome é o navegador de internet do Google. Inicialmente o software foi desenvolvido com visual minimalista e compilado com base em componentes de código aberto, como o motor de renderização o WebKit, da Apple Inc.
Ele também é o navegador mais usado no mundo, e talvez por isso, vive na mira de hackers.
Agora, o Google lançou o Chrome 103.0.5060.114 para usuários do Windows para resolver uma vulnerabilidade zero-day de alta gravidade explorada por invasores, o quarto zero-day do Chrome corrigido em 2022.
Google corrigiu uma nova vulnerabilidade zero-day do Chrome
A versão 103.0.5060.114 está sendo lançada mundialmente no canal Stable Desktop, com o Google dizendo que é uma questão de dias ou semanas até atingir toda a base de usuários.
Como instalar o Google Chrome no Ubuntu e derivados
Google Chrome no Linux Ubuntu, Debian, Fedora, Arch e derivados – veja como instalar
“O Google está ciente de que existe um exploit para o CVE-2022-2294.”, explicou o fornecedor do navegador em um comunicado de segurança publicado na segunda-feira.
O navegador da web também verificará automaticamente se há novas atualizações e as instalará automaticamente após o próximo lançamento.
O bug zero-day corrigido hoje (rastreado como CVE-2022-2294) é uma heap-based buffer overflow de alta gravidade no componente WebRTC (Web Real-Time Communications), relatado por Jan Vojtesek da equipe Avast Threat Intelligence na sexta-feira, 1 de julho.
O impacto da exploração de estouro de heap bem-sucedido pode variar de falhas de programa e execução arbitrária de código até ignorar soluções de segurança se a execução de código for alcançada durante o ataque.
Embora o Google diga que essa vulnerabilidade zero-day foi explorada em estado selvagem, a empresa ainda não compartilhou detalhes técnicos ou qualquer informação sobre esses incidentes.
“O acesso a detalhes de bugs e links pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção.”, disse o Google.
“Também reteremos restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos também dependem, mas ainda não foram corrigidos”.
Com esse lançamento atrasado de mais informações sobre os ataques, os usuários do Chrome devem ter tempo suficiente para atualizar e impedir tentativas de exploração até que o Google forneça detalhes adicionais.
Com esta atualização, o Google abordou o quarto zero-day do Chrome desde o início do ano.
As três vulnerabilidades de zero-day anteriores encontradas e corrigidas em 2022 são:
- CVE-2022-1364 – 14 de abril
- CVE-2022-1096 – 25 de março
- CVE-2022-0609 – 14 de fevereiro
O fixado em fevereiro, CVE-2022-0609, foi explorado por hackers estatais apoiados pela Coreia do Norte semanas antes do patch de fevereiro, de acordo com o Google Threat Analysis Group (TAG). Os primeiros sinais de exploração selvagem foram encontrados em 4 de janeiro de 2022.
Foi abusado por dois grupos de ameaças patrocinados pela Coreia do Norte em campanhas que enviam malware por meio de e-mails de phishing usando iscas de trabalho falsas e sites comprometidos que hospedam iframes ocultos para servir kits de exploração.
Como o zero-day corrigido hoje é conhecido por ter sido usado por invasores em estado selvagem, é altamente recomendável instalar a atualização de hoje do Google Chrome o mais rápido possível.