Enquanto os Estados Unidos se preparavam para celebrar o feriado de 4 de julho, o Google discretamente lançou uma atualização de canal estável para o Chrome para corrigir uma vulnerabilidade de zero dia que estava sendo explorada ativamente. Esta foi a quarta falha que o fornecedor teve de arrumar em seu navegador durante o ano.
As versões 103.0.5060.71 do Chrome para Android e 103.0.5060.114 para Windows e Mac, divulgadas em posts de blog distintos, publicados na segunda-feira, resolveram um erro de buffer heap no WebRTC, o motor que possibilita que o navegador realize comunicações em tempo real.
Vulnerabilidade designada como CVE-2022-2294, reportada pelo Jan Vojtesek da Equipe Avast Threat Intelligence no dia 1 de julho, é descrita como um fluxo de buffer, onde o buffer que é alocado na parte heap da memória é passível de substituição. Esta informação está presente na lista de vulnerabilidades do Common Weakness Enumeration (CWE).
Como é costumeiro, o Google não informou informações precisas sobre o problema, pois normalmente espera que a maioria dos usuários tenha instalado a versão corrigida do produto impactado. A atualização é altamente recomendada, pois explorações para a falha já estão presentes na natureza, disse o Google.
Dado que poucos detalhes foram divulgados sobre a falha, a única coisa que os usuários podem fazer é atualizar o Google Chrome. Afortunadamente, as atualizações são aplicadas automaticamente, o que significa que a maioria dos usuários será protegida assim que os patches estiverem disponíveis.
Os fluxos de buffer são geralmente responsáveis por causar falhas ou outros tipos de ataques que tornam o programa vulnerável. Estes podem incluir colocar o programa em um loop infinito, como listado pela CWE. Uma vez que isso ocorra, os invasores podem usar a brecha para executar códigos fora do âmbito da política de segurança do programa.
Além de informações cruciais do usuário, transbordos baseados em pilhas podem ser usados para substituir ponteiros de função que possam estar presentes na memória, apontando-os para o código do agente malicioso, de acordo com a lista. Mesmo em aplicativos que não explicitamente utilizam ponteiros de função, o tempo de execução geralmente deixará muitos destes na memória.
Possível paráfrase: Mais mudanças podem ser exigidas.
O Google Chrome recentemente lançou uma correção para um erro de confusão de tipo no motor JavaScript V8 identificado como CVE-2022-2295, que foi relatado no S.S.L. em 16 de junho por pesquisadores “avaue” e “Buff3tts”. Além disso, foi corrigido o problema de fluxo de buffer de zero dias.
Este ano, já houve três falhas no motor de código aberto usado por navegadores da web baseados no Chrome e Chrome Patched. Em março, uma vulnerabilidade de tipo-confusão no motor JavaScript V8 identificada como CVE-2022-1096 e sob ataque ativo motivou o Google a lançar um patch de emergência.
Na sequência, no mês de abril, a organização consertou o CVE-2022-1364, outro erro de confusão que afetava o uso do Chrome de V8, em que os invasores já haviam se beneficiado.
Na atualização do Chrome da segunda-feira, uma falha gratuita no Chrome OS Shell identificada por Khalil Zhani em 19 de maio e marcada como CVE-2022-2296 foi corrigida. A correção dessa falha, assim como de outras, obteve uma classificação de alta. Além disso, essa atualização incluiu várias correções de auditorias internas, fuzzing e outras iniciativas, de acordo com o Google.
Antes que a Google corrigisse os erros do motor JavaScript do Chrome V8 em março e abril, em fevereiro a empresa já havia feito ajustes na falha de uso zero dias no componente de animação do Chrome identificado como CVE-2022-0609, que estava sendo alvo de ataques.
Parafraseado: Divulgue este artigo.
- Vulnerabilidades de segurança são brechas que podem ser aproveitadas por criminosos para invadir um sistema de informação.
- A segurança na Web é extremamente relevante para todos os usuários de computadores e dispositivos conectados à Internet. É importante que todos adotem medidas para proteger suas informações pessoais e dados, mantendo-os seguros.
