O Google lançou ontem (28/10) um patch de emergência para duas falhas de dia-zero — as vulnerabilidades exploráveis em atualizações recém-lançadas — do Chrome.
Com estas detecções, o número corresponde a um total de 16 ameaças pós-lançamento do navegador, um recorde triste para os usuários do navegador do grupo Alphabet.
Uma falha de dia-zero acontece quando um software é lançado em sua versão mais estável e, ainda assim, apresenta alguma vulnerabilidade desconhecida para o usuário. O risco delas está no fato de que cibercriminosos podem explorá-las antes mesmo do conhecimento da empresa, afetando usuários que acreditam estar seguros.
As brechas, descobertas pelo Grupo de Análise de Ameaças (TAG) do browser, exploram um recurso novo da última versão, chamado Intents (ou Intenções, em português), bem como um erro de implementação dos motores JavaScript e WebAssembly. As ameaças foram descobertas nos dias 15 de setembro e 26 de outubro, respectivamente.
Em uma postagem no blog oficial dos desenvolvedores, o Google informa que as duas novas brechas abusáveis, CVE-2021-38000 e CVE-2021-38003, estão “à solta por aí”. A empresa não listou como as vulnerabilidades poderiam ter sido exploradas por agentes maliciosos.
Chrome também corrige falhas de uso de memória
Além das duas novas falhas de dia-zero do Chrome, o patch corrige outra vulnerabilidade do navegador detectada anteriormente, a CVE-2021-38002.
Esta falha se trata de um Use-After-Free (“Uso-Após-Livre”, em tradução aproximada), um problema de apontador pendente que se aproveita do mau gerenciamento de memória para fechar programas e até carregar códigos maliciosos.
O Google recomenda a todos os usuários do navegador nas versões Windows, Mac e Linux para atualizar para a última versão (95.0.4638.69). A aplicação manual pode ser feita ao ir em “Configurações”, depois “Ajuda”, e então, “Sobre o Google Chrome”.
Imagem: dennizn/Shutterstock
Leia mais:
- Google lança patch de correção de vulnerabilidade em falha de dia zero na última versão do Chrome
- Nova falha de dia zero ataca celulares Android com chipsets Snapdragon
- iOS 15.0.2 é liberado pela Apple com solução para falha do tipo zero-day
Já assistiu aos nossos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!