O Google lançou na sexta-feira uma atualização de segurança fora de banda para resolver uma vulnerabilidade de alta gravidade em seu navegador Chrome que, segundo ele, está sendo ativamente explorada na natureza.
Rastreada como CVE-2022-1096, a falha de dia zero está relacionada a uma vulnerabilidade de confusão de tipos no mecanismo JavaScript V8. Um pesquisador anônimo foi creditado por relatar o bug em 23 de março de 2022.
Erros de confusão de tipo, que surgem quando um recurso (por exemplo, uma variável ou um objeto) é acessado usando um tipo incompatível com o que foi inicializado originalmente, podem ter sérias consequências em linguagens que não são seguras para memória como C e C++, permitindo uma ator para executar o acesso à memória fora dos limites.
“Quando um buffer de memória é acessado usando o tipo errado, ele pode ler ou gravar memória fora dos limites do buffer, se o buffer alocado for menor que o tipo que o código está tentando acessar, levando a uma falha e possivelmente ao código execução”, explica a Common Weakness Enumeration (CWE) do MITRE.
A gigante da tecnologia reconheceu que “está ciente de que existe uma exploração para CVE-2022-1096”, mas não compartilhou detalhes adicionais para evitar mais exploração e até que a maioria dos usuários seja atualizada com uma correção.
CVE-2022-1096 é a segunda vulnerabilidade de dia zero abordada pelo Google no Chrome desde o início do ano, sendo a primeira a CVE-2022-0609, uma vulnerabilidade use-after-free no componente Animation que foi corrigida em 14 de fevereiro , 2022.
No início desta semana, o Threat Analysis Group (TAG) do Google divulgou detalhes de uma campanha dupla realizada por grupos de estados-nação norte-coreanos que armaram a falha para atacar organizações sediadas nos EUA, abrangendo mídia de notícias, TI, criptomoedas e indústrias de fintech.
Os usuários do Google Chrome são altamente recomendados para atualizar para a versão mais recente 99.0.4844.84 para Windows, Mac e Linux para mitigar possíveis ameaças. Os usuários de navegadores baseados no Chromium, como Microsoft Edge, Opera e Vivaldi, também são aconselhados a aplicar as correções à medida que estiverem disponíveis.
REFERÊNCIAS:
https://thehackernews.com/2022/03/google-issues-urgent-chrome-update-to.html
https://thehackernews.com/2022/03/north-korean-hackers-exploited-chrome.html
https://thehackernews.com/2022/02/new-chrome-0-day-bug-under-active.html