Pesquisadores de segurança ligados ao Project Zero, do Google, descobriram uma falha no Windows 10 que tornou, por tabela, o Chrome inseguro em alguns aspectos. Mais especificamente, a versão 1903 do sistema operacional, lançada na primeira metade de 2019, quebrou um recurso importante de segurança do navegador.
De acordo com a publicação no blog do Project Zero, o pesquisador James Forshaw detalhou a vulnerabilidade, explicando que o recurso de sandbox do Chrome era totalmente dependente do sistema operacional para funcionar corretamente. A função tem como objetivo isolar as páginas que você acessa umas das outras, impedindo que um site malicioso interfira nos outros que você está acessando e que o sistema operacional e outros apps se mantenham intactos.
Forshaw explica que a atualização do Windows contava com uma mudança na forma como o sistema encarava processos em sandbox, fazendo com que o recurso que deveria isolar o navegador do resto do sistema não funcionasse adequadamente.
Na prática, isso significa que seria possível que algum processo malicioso em execução no Chrome vazasse para outras partes do sistema. Em seus experimentos, Forshaw foi capaz de explorar a vulnerabilidade, para fazer com que “uma aplicação com um certo nível de integridade executasse código em um nível de integridade diferente, causando uma fuga da sandbox”.
Para piorar, como a falha era resultado de uma brecha do Windows 10, outros navegadores que dependiam da função também foram pegos de surpresa. À Forbes, a Mozilla confirmou que o bug também afeta usuários da Microsoft, assim como a Opera, desenvolvedora do navegador homônimo. Segundo Forshaw, até mesmo o Edge, da própria Microsoft, estava exposto.
A vulnerabilidade passou quase um ano aberta até que fosse descoberta pelo Project Zero, que notificou a Microsoft para que as devidas medidas de segurança fossem tomadas. A empresa lançou um update para fechar a brecha na última Patch Tuesday, então vale a pena baixar a correção pelo Windows Update, especialmente agora que a falha é de conhecimento público.
Tags: