Chrome 99.0.4844.84 lançado com correção para uma falha zero-day usada em ataques

E foi lançado o Chrome 99.0.4844.84 com correção para uma falha zero-day usada em ataques, e mais. Confira as novidades e veja como instalar no Linux.

O Chrome é o navegador do Google e também o navegador número um no mercado, com uma participação de mais de 65%, de acordo com dados de terceiros da NetMarketShare.

Agora, o Google lançou o Chrome 99.0.4844.84. A versão 99.0.4844.84 já está sendo lançada mundialmente no canal Stable Desktop, e o Google diz que pode ser uma questão de semanas até atingir toda a base de usuários.

Novidades do Chrome 99.0.4844.84

Chrome 99.0.4844.84 lançado com correção para uma falha zero-day usada em ataques
Chrome 99.0.4844.84 lançado com correção para uma falha zero-day usada em ataques

Sim. O Google lançou o Chrome 99.0.4844.84 para usuários de Windows, Mac e Linux para resolver um bug de dia zero de alta gravidade explorado na natureza.

“O Google está ciente de que existe um exploit para o CVE-2022-1096”, disse o fornecedor do navegador em um comunicado de segurança publicado na sexta-feira.

O bug zero-day corrigido nessa atualização (e rastreado como CVE-2022-1096) é uma falha de confusão do tipo de alta gravidade no mecanismo JavaScript do Chrome V8 relatada por um pesquisador de segurança anônimo.

Embora as falhas de confusão de tipo geralmente levem a travamentos do navegador após a exploração bem-sucedida ao ler ou gravar a memória fora dos limites do buffer, os invasores também podem explorá-los para executar código arbitrário.

Embora o Google tenha dito que detectou ataques explorando esse dia zero em estado selvagem, a empresa não compartilhou detalhes técnicos ou informações adicionais sobre esses incidentes.

“O acesso a detalhes de bugs e links pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção”, disse o Google.

“Também reteremos restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos também dependem, mas ainda não foram corrigidos.”

Os usuários do Google Chrome devem ter tempo suficiente para atualizar o Chrome e evitar tentativas de exploração até que o fornecedor do navegador libere mais informações.

Com esta atualização, o Google abordou o segundo dia zero do Chrome desde o início de 2022, o outro (rastreado como CVE-2022-0609) corrigido no mês passado.

O Grupo de Análise de Ameaças do Google (TAG) revelou que hackers estatais apoiados pela Coreia do Norte exploraram o CVE-2022-0609 semanas de dia zero antes do patch de fevereiro. O primeiro sinal de exploração ativa foi encontrado em 4 de janeiro de 2022.

O dia zero foi explorado por dois grupos de ameaças separados apoiados pelo governo norte-coreano em campanhas que enviam malware por meio de e-mails de phishing usando iscas de trabalho falsas e sites comprometidos que hospedam iframes ocultos para fornecer um kit de exploração.

“Os e-mails continham links que falsificavam sites legítimos de busca de emprego, como o Indeed e o ZipRecruiter.”, explicaram os pesquisadores.

“Em outros casos, observamos sites falsos – já configurados para distribuir aplicativos de criptomoeda trojanizados – hospedando iframes e apontando seus visitantes para o kit de exploração.”

Como instalar ou atualizar o Chrome

Os usuários de Android e iOS podem atualizar o Chrome em suas respectivas lojas de aplicativos.

Já os usuários de desktop Windows, Mac e Linux podem atualizar para o Chrome mais recente acessando Configurações -> Ajuda -> Sobre o Google Chrome e o navegador verificará automaticamente a nova atualização e a instalará se e quando disponível.

Ou para instalar a versão mais recente do Chrome nas principais distribuições Linux, use um desses tutoriais:
Google Chrome no Linux Ubuntu, Debian, Fedora, Arch e derivados – veja como instalar
Como instalar o Google Chrome no Fedora e derivados
Como instalar o Google Chrome no Ubuntu e derivados

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.