Google lança correção para novo zero-day crítico

Google lança correção para novo zero-day crítico. Atualize o navegador Google Chrome para corrigir a nova exploração de dia zero detectada na natureza.

O Google enviou atualizações de segurança para resolver uma vulnerabilidade de dia zero de alta gravidade em seu navegador Chrome, que disse estar sendo explorada em estado selvagem.

A falha, rastreada como CVE-2022-2294 , está relacionada a uma falha de estouro de heap no componente WebRTC que fornece recursos de comunicação de áudio e vídeo em tempo real em navegadores sem a necessidade de instalar plug-ins ou baixar aplicativos nativos.

Os estouros de buffer de heap, também chamados de heap overrun ou heap smashing, ocorrem quando os dados são substituídos na área de heap da memória , levando à execução arbitrária de código ou a uma condição de negação de serviço (DoS).

Os estouros baseados em heap podem ser usados ​​para sobrescrever ponteiros de função que podem estar vivendo na memória, apontando-os para o código do invasor“, explica MITRE . “Quando a consequência é a execução arbitrária de código, isso geralmente pode ser usado para subverter qualquer outro serviço de segurança.”

Creditado por relatar a falha em 1º de julho de 2022, é Jan Vojtesek, da equipe Avast Threat Intelligence. Vale ressaltar que o bug também impacta a versão Android do Chrome.

Como geralmente é o caso da exploração de dia zero, os detalhes relativos à falha, bem como outros detalhes relacionados à campanha, foram retidos para evitar mais abusos na natureza e até que uma parte significativa dos usuários seja atualizada com uma correção.

O CVE-2022-2294 também marca a resolução da quarta vulnerabilidade de dia zero no Chrome desde o início do ano –

Recomenda-se que os usuários atualizem para a versão 103.0.5060.114 para Windows, macOS e Linux e 103.0.5060.71 para Android para mitigar possíveis ameaças. Os usuários de navegadores baseados no Chromium, como Microsoft Edge, Brave, Opera e Vivaldi, também são aconselhados a aplicar as correções à medida que estiverem disponíveis.

A divulgação logo segue um relatório do Google Project Zero, que observou que um total de 18 vulnerabilidades de segurança foram exploradas como dias zero sem correção até agora este ano.

Fonte: The Hacker

Veja também:

Sobre mindsecblog 2401 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

Seja o primeiro a comentar

Deixe sua opinião!