Google lança correção para novo zero-day crítico. Atualize o navegador Google Chrome para corrigir a nova exploração de dia zero detectada na natureza.
O Google enviou atualizações de segurança para resolver uma vulnerabilidade de dia zero de alta gravidade em seu navegador Chrome, que disse estar sendo explorada em estado selvagem.
A falha, rastreada como CVE-2022-2294 , está relacionada a uma falha de estouro de heap no componente WebRTC que fornece recursos de comunicação de áudio e vídeo em tempo real em navegadores sem a necessidade de instalar plug-ins ou baixar aplicativos nativos.
Os estouros de buffer de heap, também chamados de heap overrun ou heap smashing, ocorrem quando os dados são substituídos na área de heap da memória , levando à execução arbitrária de código ou a uma condição de negação de serviço (DoS).
“Os estouros baseados em heap podem ser usados para sobrescrever ponteiros de função que podem estar vivendo na memória, apontando-os para o código do invasor“, explica MITRE . “Quando a consequência é a execução arbitrária de código, isso geralmente pode ser usado para subverter qualquer outro serviço de segurança.”
Creditado por relatar a falha em 1º de julho de 2022, é Jan Vojtesek, da equipe Avast Threat Intelligence. Vale ressaltar que o bug também impacta a versão Android do Chrome.
Como geralmente é o caso da exploração de dia zero, os detalhes relativos à falha, bem como outros detalhes relacionados à campanha, foram retidos para evitar mais abusos na natureza e até que uma parte significativa dos usuários seja atualizada com uma correção.
O CVE-2022-2294 também marca a resolução da quarta vulnerabilidade de dia zero no Chrome desde o início do ano –
- CVE-2022-0609 – Use-after-free em Animation
- CVE-2022-1096 – Confusão de tipos na V8
- CVE-2022-1364 – Confusão de tipos na V8
Recomenda-se que os usuários atualizem para a versão 103.0.5060.114 para Windows, macOS e Linux e 103.0.5060.71 para Android para mitigar possíveis ameaças. Os usuários de navegadores baseados no Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são aconselhados a aplicar as correções à medida que estiverem disponíveis.
A divulgação logo segue um relatório do Google Project Zero, que observou que um total de 18 vulnerabilidades de segurança foram exploradas como dias zero sem correção até agora este ano.
Fonte: The Hacker
Veja também:
- Zabbix 6.2 chega com melhorias de configuração e desempenho
- CISA Alert (AA22-181A) #StopRansomware: MedusaLocker
- Relatório mostra como setor de energia é um dos alvos preferidos de ataques cibernéticos
- Fortinet eleva seu compromisso com o MITRE Engenuity Center para a Defesa Informada sobre Ameaças
- BlackParty: nova campanha de malware tem o Brasil como alvo principal
- Hackers apoiados pela Rússia atacam sites lituanos
- Defendendo a Ucrânia: primeiras lições da guerra cibernética
- Por que a autenticação MFA é chave para a segurança cibernética moderna
- CISA lança referência de segurança na nuvem
- LockBit 3.0 estreia Ransomware Bug Bounty Program
- OpenSSL vulnerável a corrupção de memória remota
- Como a proteção de dados ajuda a lidar com os riscos do negócio?
Be the first to comment