Do not speak Portuguese? Translate this site with Google or Bing Translator

Bug Zero-Day do Chrome com exploit in the wild recebeu um patch

O Bug Zero-Day do Chrome com exploit in the wild recebeu um patch, e em breve, os usuários receberão essa correção. Confira os detalhes das ameaças.

O Google Chrome ainda é o navegador mais usado no planeta, e isso o torna uma das mais importantes ferramentas de controle da web para o Google.

Bug Zero-Day do Chrome com exploit in the wild recebeu um patch
Bug Zero-Day do Chrome com exploit in the wild recebeu um patch

E o Chrome continua crescendo e sendo atualizado constantemente.

Bug Zero-Day do Chrome com exploit in the wild recebeu um patch

Na última quinta-feira à noite o Google começou a lançar uma atualização para o Chrome que corrige duas vulnerabilidades use-after-free, uma delas com pelo menos uma exploração na natureza.

De acordo com um alerta da Agência de Segurança em Segurança e Infraestrutura (CISA), os dois problemas de segurança são sérios, pois podem ser aproveitados para assumir o controle de um sistema vulnerável.

O Google diz estar ciente de que uma das falhas é um exploit in the wild. Este bug recebeu o número de rastreamento CVE-2019-13720 e está no componente de áudio do navegador web.

Os pesquisadores de malware da Kaspersky Lab, Anton Ivanov, chefe da equipe de pesquisa e detecção de ameaças avançadas, e Alexey Kulaev, analista sênior de malware, são creditados por reportarem a vulnerabilidade no dia 29 de outubro.
 
Uma segunda vulnerabilidade use-after-free, identificada como CVE-2019-13721, foi relatada em 12 de outubro pelo caçador de bugs bananapenguin, que recebeu uma recompensa de U$$ 7.500.

Um efeito direto de acionar uma vulnerabilidade use-after-free (UAF) geralmente é uma falha, mas em determinadas circunstâncias, esse tipo de problema de corrupção de memória pode ser explorado para executar código arbitrário.


Aproveitar esses bugs não é fácil. Eles ocorrem quando um programa continua usando um ponteiro para a memória que já foi liberada.

O Open Web Application Security Project (OWASP) lista as seguintes causas de uma falha do UAF, que também são válidas para outros problemas relacionados à memória, como erros de liberação dupla e vazamentos:

  • Condições de erro e outras circunstâncias excepcionais
  • Confusão sobre qual parte do programa é responsável por liberar a memória

Detalhes para os bugs não estão disponíveis publicamente no momento. Como regra, o Google restringe o acesso a essas informações até que o patch seja instalado para a maioria dos usuários.

O nível de gravidade para ambas as vulnerabilidades é considerado alto e uma correção é fornecida com o Google Chrome 78.0.3904.87, disponível para usuários de Windows, Mac e Linux.

A atualização alcançará toda a base de usuários do navegador nos próximos dias, possivelmente semanas, informa o Google em uma postagem no blog.

O que está sendo falado no blog

No Post found.

Categorias Android, Arch, bodhi, CentOS, Debian, Deepin, Elementary, Fedora, Gentoo, Kali, Kylin, Linux, Linux Mint, Mageia, Manjaro, Notícias, Open Source, openSUSE, Pop!_OS, RedHat, Sabayon, Scientific, Software livre, Solus, SUSE, Tecnologia, Trisquel, Tutorial, Ubuntu, Zorin Tags , , , , , ,
Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.