O Google lançou ontem (28/10) um patch de emergência para duas falhas de dia-zero — as vulnerabilidades exploráveis em atualizações recém-lançadas — do Chrome.

Com estas detecções, o número corresponde a um total de 16 ameaças pós-lançamento do navegador, um recorde triste para os usuários do navegador do grupo Alphabet.

Uma falha de dia-zero acontece quando um software é lançado em sua versão mais estável e, ainda assim, apresenta alguma vulnerabilidade desconhecida para o usuário. O risco delas está no fato de que cibercriminosos podem explorá-las antes mesmo do conhecimento da empresa, afetando usuários que acreditam estar seguros.

As brechas, descobertas pelo Grupo de Análise de Ameaças (TAG) do browser, exploram um recurso novo da última versão, chamado Intents (ou Intenções, em português), bem como um erro de implementação dos motores JavaScript e WebAssembly. As ameaças foram descobertas nos dias 15 de setembro e 26 de outubro, respectivamente.

publicidade

Em uma postagem no blog oficial dos desenvolvedores, o Google informa que as duas novas brechas abusáveis, CVE-2021-38000 e CVE-2021-38003, estão “à solta por aí”. A empresa não listou como as vulnerabilidades poderiam ter sido exploradas por agentes maliciosos.

Chrome também corrige falhas de uso de memória

Além das duas novas falhas de dia-zero do Chrome, o patch corrige outra vulnerabilidade do navegador detectada anteriormente, a CVE-2021-38002.

Esta falha se trata de um Use-After-Free (“Uso-Após-Livre”, em tradução aproximada), um problema de apontador pendente que se aproveita do mau gerenciamento de memória para fechar programas e até carregar códigos maliciosos.

O Google recomenda a todos os usuários do navegador nas versões Windows, Mac e Linux para atualizar para a última versão (95.0.4638.69). A aplicação manual pode ser feita ao ir em “Configurações”, depois “Ajuda”, e então, “Sobre o Google Chrome”.

Imagem: dennizn/Shutterstock

Leia mais:

Já assistiu aos nossos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!