O Google eliminou a vulnerabilidade de zero-dias, que havia sido descoberta e ativamente explorada no Chrome este ano, incluindo a correção em uma atualização do canal estável lançada na quarta-feira.
O erro de segurança, denominado CVE-2022-2856 e considerado como uma ameaça grave de acordo com o Common Vulnerability Scoring System (CVSS), está ligado à “falha na verificação de inputs não confiáveis para Intents”, como afirma a declaração emitida pelo Google.
Ashley Shen e Christian Resell, do grupo de análise de ameaças do Google (TAG), são creditados por notificarem o erro de “dia zero” que poderia permitir a execução de código indesejado no dia 19 de julho. Além disso, o TAG também identificou mais dez correções para vários problemas do Chrome.
De acordo com a Branch, uma empresa que fornece várias opções de ligação para aplicações móveis, os intents são um recurso de ligação profunda no dispositivo Android dentro do navegador Chrome, que substituiu os esquemas URI que antes manipulavam esse processo.
Em vez de atribuir janela.localização ou um iframe.src para um URI específico, os desenvolvedores do Chrome devem usar a cadeia de intenção definida neste documento, de acordo com o site da empresa. A utilização da intenção aconselha a complexidade, mas trata automaticamente do caso de um aplicativo móvel não estar instalado quando se trata de links.
Verificações insuficientes estão vinculadas à validação de entrada, uma técnica usada com frequência para conferir entradas que podem ser perigosas para garantir que sejam seguras para serem processadas no código ou quando se comunica com outros componentes, de acordo com o Common Weakness Enumeration da MITRE.
Quando o software não verifica adequadamente a entrada, um invasor pode criar uma entrada desconhecida para o restante da aplicação, de acordo com um post no site. Isso provoca que partes do sistema recebam dados não pretendidos, o que pode resultar em um fluxo de controle alterado, controle imprudente de um recurso ou execução de código não autorizado.
Apoiando Investigações
Como é habitual, o Google não deu informações específicas sobre o erro até que seja corrigido de forma generalizada, para evitar que os agentes maliciosos aproveitem disso; uma iniciativa que um experiente em segurança indicou ser acertada.
Divulgar informações sobre vulnerabilidades zero-day exploradas de forma ativa, quando o patch fica disponível, pode ter consequências catastróficas, pois leva tempo para implementar atualizações de segurança em sistemas vulneráveis e os invasores estão ansiosos para explorar essas falhas, disse Satnam Narang, engenheiro sênior de pesquisa de pessoal da empresa de segurança cibernética Tenable, em um e-mail para a Threatpost.
Guardar dados é um indicativo de que outras versões do Linux e navegadores como o Microsoft Edge contêm componentes que são originados do Projeto Chromium do Google. Qualquer problema relacionado a vulnerabilidades que venha a ser descoberto, pode afetar todos esses programas, explica ele.
Os apoiadores encontram grande valor em ter esse refúgio, declarou Narang.
Ao longo da atualização, a maioria das correções foram para vulnerabilidades que foram classificadas como alto ou médio risco. No entanto, foi identificada uma falha crítica designada como CVE-2022-2852, que foi detectada por Sergei Glazunov, do Google Project Zero, em 8 de agosto. Esta falha foi encontrada no FedCM, que é uma API de Gestão Credencial Federada e ajuda a simplificar fluxos de identidade federado na web.
Até o momento, o quinto patch Chrome 0Day foi liberado.
O nono defeito de segurança no Chrome que foi descoberto até o momento em 2020 foi o patch de dia zero. O Google já tomou as medidas necessárias para corrigi-lo.
Em julho, a empresa corrigiu uma falha de sobrecarga de buffer de heap exploração ativa identificada como CVE-2022-2294 na WebRTC, o motor que dá ao Chrome sua capacidade de comunicações em tempo real. No mês de maio, foi uma falha de sobrecarga de buffer separada, rastreada como CVE-2022-2294, que estava sendo explorada e foi corrigida com a aplicação de um patch.
Em abril, o Google consertou a CVE-2022-1364, uma perturbação de tipo que afeta o Chrome utilizando o motor JavaScript V8, a qual os invasores já tinham explorado. O mês anterior, um outro problema de confusão de tipo em V8 monitorado como CVE-2022-1096 e sob ataque ativo também gerou um conserto urgente.
Fevereiro testemunhou uma retificação para o primeiro dos zero dias do Chrome para este ano, uma vulnerabilidade sem uso no componente de animação do Chrome monitorado como CVE-2022-0609 que já estava sendo tirado proveito. Mais tarde, ficou evidente que os hackers da Coreia do Norte vinham explorando a falha há algumas semanas antes de ser descoberta e consertada.
Mande este artigo para outras pessoas.
- Vulnerabilidades de segurança são brechas na segurança que podem ser utilizadas por invasores para atingir o sistema.
- A segurança da Web é algo de grande relevância para todos os usuários da Internet. É necessário que todos adotem medidas para garantir que suas informações individuais e dados sejam mantidos seguros.