Google Chrome lança correção para vulnerabilidade na biblioteca FreeType

Recentemente, o Google lançou a versão 86.0.4240.111 do Chrome. Uma das correções implementadas é um patch de segurança que corrige uma vulnerabilidade ativamente explorada.

Conhecido como CVE-2020-15999, o problema é descrito como um bug de corrupção de memória da biblioteca de renderização de fontes FreeType – que está incluída nas distribuições padrões do Chrome.

A vulnerabilidade foi descoberta por pesquisadores de segurança do Project Zero, uma das equipes de segurança interna do Google. Segundo Ben Hawkes, líder da equipe, um criminoso foi encontrado se aproveitando dessa falha para arquitetar ataques contra usuários do navegador.

Hawkes também afirma que alertou outros fornecedores de aplicativos que usam a mesma biblioteca a atualizarem seus softwares. De acordo com ele, essa foi a decisão mais comum, já que é possível que os criminosos direcionem os ataques para outras frentes.

Vulnerabilidade é bug de corrupção de memória da biblioteca de renderização de fontes FreeType . Foto: Ink Drop/ Shutterstock

Ataque descoberto

Apesar de revelar a vulnerabilidade, detalhes sobre as tentativas de exploração não foram divulgados. O Google geralmente fica meses analisando detalhes técnicos das explorações para detalhar as descobertas. No entanto, isso não foi feito até agora.

Apesar disso, com a correção visível no código-fonte do FreeType, espera-se que especialistas sejam capazes de fazer engenharia reversa para apresentar suas próprias conclusões sobre a ameaça nas próximas semanas.

Esse é o terceiro ataque arquitetado contra os usuários do Chrome dos últimos 12 meses. Os anteriores foram CVE-2019-13720 (outubro de 2019) e CVE-2020-6418 (fevereiro de 2020).

Via: ZDNet

Esta post foi modificado pela última vez em 21 de outubro de 2020 12:05

Compartilhar
Deixe seu comentário
Publicado por
Luiz Nogueira