Especialistas em segurança emitiram uma atualização de emergência do Google Chrome para sua versão mais recente devido a uma exploração de dia zero, a nona do ano. Clement Lecigne, da TAG do Google, divulgou os detalhes sobre a vulnerabilidade do Google Chrome.
Especialistas em segurança emitiram uma atualização de emergência do Google Chrome para sua versão mais recente devido a uma exploração de dia zero, a nona do ano. Clement Lecigne, da TAG do Google, divulgou os detalhes sobre a vulnerabilidade do Google Chrome.
O que está acontecendo?
O Google confirmou a existência de um exploit que os hackers podem estar usando contra o recém-divulgado dia zero do Chrome. Rastreado como CVE-2022-4262, é uma falha de confusão de tipo altamente crítica no mecanismo JavaScript V8 do Chrome.
Qual é a ameaça?
- Os hackers que exploram a vulnerabilidade do Chrome podem executar ataques baseados em RCE, exibindo código não confiável de uma página maliciosa, resultando em ataques arbitrários de execução de código.
- Além disso, o dia zero do Chrome pode permitir que um invasor remoto explore potencialmente a corrupção de heap por meio de uma página HTML especialmente criada.
O conserto
- O Google alegou ter resolvido o dia zero do Chome para diferentes plataformas de sistema operacional com a nova atualização do Google Chrome.
- Ele preparou as versões 108.0.5359.94 para Mac e Linux e a versão 108.0.5359.94/.95 para Windows.
No entanto, os usuários podem ter que esperar alguns dias/semanas antes de chegar até eles.
O que mais?
- Os pesquisadores do Google não compartilharam detalhes técnicos sobre a vulnerabilidade do Chrome para permitir que os usuários concluam suas atualizações do Chrome. Caso contrário, se compartilhado, os hackers começariam a abusar dele.
- Além disso, o dia zero do Chrome encontrou seu lugar no catálogo de vulnerabilidades exploradas conhecidas da CISA.
Outros exploits de dia zero de 2022
- CVE-2022-4135 – (25 de novembro) – problema de estouro de buffer de heap na GPU
- CVE-2022-3723 – (28 de outubro) – problema de confusão de tipos que reside no mecanismo Javascript V8
- CVE-2022-3075 (2 de setembro) – Validação insuficiente de dados na coleção Mojo de bibliotecas de tempo de execução.
- CVE-2022-2856 (17 de agosto) – Validação insuficiente de entrada não confiável em intenções
- CVE-2022-2294 (4 de julho) – Estouro de buffer de heap no componente Web Real-Time Communications (WebRTC)
- CVE-2022-1364 (14 de abril) – tipo de problema de confusão que reside no mecanismo JavaScript V8
- CVE-2022-1096 – (25 de março) – tipo Confusão no mecanismo JavaScript V8
- CVE-2022-0609 – (14 de fevereiro) – use após o problema gratuito que reside no componente Animação
Conclusão
A atualização do Google Chrome é obrigatória para eliminar qualquer ameaça representada pelo exploit.
17 thoughts on “Nono dia de Zero-Day no Chrome, continua sendo explorado ativamente.”
Comments are closed.