O Bug Zero-Day do Chrome com exploit in the wild recebeu um patch, e em breve, os usuários receberão essa correção. Confira os detalhes das ameaças.
O Google Chrome ainda é o navegador mais usado no planeta, e isso o torna uma das mais importantes ferramentas de controle da web para o Google.
E o Chrome continua crescendo e sendo atualizado constantemente.
Bug Zero-Day do Chrome com exploit in the wild recebeu um patch
Na última quinta-feira à noite o Google começou a lançar uma atualização para o Chrome que corrige duas vulnerabilidades use-after-free, uma delas com pelo menos uma exploração na natureza.
De acordo com um alerta da Agência de Segurança em Segurança e Infraestrutura (CISA), os dois problemas de segurança são sérios, pois podem ser aproveitados para assumir o controle de um sistema vulnerável.
O Google diz estar ciente de que uma das falhas é um exploit in the wild. Este bug recebeu o número de rastreamento CVE-2019-13720 e está no componente de áudio do navegador web.
Os pesquisadores de malware da Kaspersky Lab, Anton Ivanov, chefe da equipe de pesquisa e detecção de ameaças avançadas, e Alexey Kulaev, analista sênior de malware, são creditados por reportarem a vulnerabilidade no dia 29 de outubro.
Uma segunda vulnerabilidade use-after-free, identificada como CVE-2019-13721, foi relatada em 12 de outubro pelo caçador de bugs bananapenguin, que recebeu uma recompensa de U$$ 7.500.
Um efeito direto de acionar uma vulnerabilidade use-after-free (UAF) geralmente é uma falha, mas em determinadas circunstâncias, esse tipo de problema de corrupção de memória pode ser explorado para executar código arbitrário.
- Como instalar o AdGuard Home no Linux via Snap
- Descoberta uma vulnerabilidade no Flatpak
- Como instalar a ferramenta para navegação forçada Feroxbuster no Linux
- Como instalar o módulo de segurança da Caixa no Ubuntu, Debian, Fedora e openSUSE
Aproveitar esses bugs não é fácil. Eles ocorrem quando um programa continua usando um ponteiro para a memória que já foi liberada.
O Open Web Application Security Project (OWASP) lista as seguintes causas de uma falha do UAF, que também são válidas para outros problemas relacionados à memória, como erros de liberação dupla e vazamentos:
- Condições de erro e outras circunstâncias excepcionais
- Confusão sobre qual parte do programa é responsável por liberar a memória
Detalhes para os bugs não estão disponíveis publicamente no momento. Como regra, o Google restringe o acesso a essas informações até que o patch seja instalado para a maioria dos usuários.
O nível de gravidade para ambas as vulnerabilidades é considerado alto e uma correção é fornecida com o Google Chrome 78.0.3904.87, disponível para usuários de Windows, Mac e Linux.
A atualização alcançará toda a base de usuários do navegador nos próximos dias, possivelmente semanas, informa o Google em uma postagem no blog.
O que está sendo falado no blog
No Post found.
