O Google emitiu uma atualização de segurança de emergência para o Chrome resolver uma terceira vulnerabilidade de dia zero explorada em ataques dentro de uma semana. A empresa reconhece a existência de uma exploração para CVE-2024-4947 em estado selvagem, de acordo com um aviso de segurança. A falha foi corrigida nas versões 125.0.6422.60/.61 para Mac/Windows e 125.0.6422.60 para Linux. Essas atualizações serão lançadas para todos os usuários do canal Stable Desktop nas próximas semanas.
Este é o segundo patch de segurança do Google em poucos dias. No início desta semana, a empresa enviou uma correção para uma falha do Chrome que poderia levar ao acesso não autorizado a dados. A atualização visava resolver uma vulnerabilidade de dia zero de alta gravidade, identificada como CVE-2024-4761, que tem sido explorada ativamente em ataques.
Atualizações automáticas e manuais
O Chrome é atualizado automaticamente quando novos patches de segurança estão disponíveis. No entanto, os usuários podem verificar manualmente se estão executando a versão mais recente navegando até o menu do Chrome > Ajuda > Sobre o Google Chrome. Assim que a atualização for concluída, os usuários devem clicar no botão ‘Reiniciar’ para instalá-la. BleepingComputer confirmou que a atualização estava imediatamente disponível quando verificada.
Detalhes da vulnerabilidade
A vulnerabilidade de dia zero de alta gravidade, identificada como CVE-2024-4947, é causada por uma fraqueza de confusão de tipo em o mecanismo JavaScript do Chrome V8. Esta falha foi relatada pelos pesquisadores da Kaspersky, Vasily Berdnikov e Boris Larin. Essas vulnerabilidades normalmente permitem que os agentes de ameaças causem travamentos do navegador ao ler ou gravar memória fora dos limites do buffer. No entanto, eles também podem ser explorados para execução arbitrária de códigos em dispositivos visados.
O Google confirmou que esse bug foi usado em ataques, mas ainda não forneceu informações detalhadas sobre esses incidentes. A empresa afirma que o acesso aos detalhes e links do bug pode permanecer restrito até que a maioria dos usuários receba a correção. As restrições também serão mantidas se o bug existir em uma biblioteca de terceiros da qual outros projetos dependem e ainda não foram corrigidos.
Sete dias zero corrigidos em 2024
Esta vulnerabilidade mais recente marca a sétima falha de dia zero corrigida no Chrome desde o início do ano. A lista de dias zero abordados em 2024 inclui:
CVE-2024-0519: Um problema de acesso à memória fora dos limites de alta gravidade no mecanismo JavaScript do Chrome V8, permitindo que invasores remotos explorem a corrupção de heap por meio de uma página HTML especialmente criada, levando ao acesso não autorizado a informações confidenciais. CVE-2024-2887: Uma falha de confusão de tipo de alta gravidade no WebAssembly (Wasm ) padrão, potencialmente levando a explorações de execução remota de código (RCE) por meio de uma página HTML criada. CVE-2024-2886: uma vulnerabilidade de uso após liberação na Web
