Na última quinta-feira, 23 de maio, o Google lançou uma nova atualização do Chrome para corrigir outra vulnerabilidade explorada no navegador: foi o quarto zero-day corrigido em duas semanas.
Identificada como CVE-2024-5274, essa falha de alta gravidade é descrita como uma confusão de tipo no engine V8 de JavaScript e WebAssembly. “O Google está ciente de que existe um exploit para CVE-2024-5274 em circulação”, informou a empresa em um comunicado oficial.
Histórico de Correções Recentes
A empresa não divulgou detalhes específicos sobre o bug ou sobre qualquer exploração ativa, mas creditou Clement Lecigne, do Google Threat Analysis Group (TAG), e Brendon Tiszka, da equipe de segurança do Chrome, pela descoberta da falha. Não haverá recompensa pelo programa de bug bounty para essa descoberta.
As vulnerabilidades no Chrome são frequentemente exploradas por fornecedores de software de vigilância comercial. Pesquisadores do Google TAG relataram anteriormente vários zero-days direcionados por fornecedores de spyware, incluindo falhas de segurança no navegador do Google.
A CVE-2024-5274 é o quarto zero-day corrigido nos últimos 15 dias. As correções anteriores incluíram CVE-2024-4671 (uso após liberação no Visuals), CVE-2024-4761 (gravação fora dos limites no V8) e CVE-2024-4947 (confusão de tipo no V8).
Atualizações e Versões
O Google resolveu um total de oito zero-days do Chrome até agora este ano. Três dessas vulnerabilidades, CVE-2024-2886, CVE-2024-2887 e CVE-2024-3159, foram demonstradas na competição de hacking Pwn2Own Vancouver 2024 em março.
A versão mais recente do Chrome está sendo lançada como 125.0.6422.112 para Linux e 125.0.6422.112/.113 para Windows e macOS. O Google também anunciou a atualização do Chrome para Android nas versões 125.0.6422.112/.113, incluindo as mesmas correções de segurança.
Glossário
- CVE (Common Vulnerabilities and Exposures): Identificador padrão usado para rastrear vulnerabilidades de software.
- Zero-day: Vulnerabilidade de software recém-descoberta que ainda não possui correção disponível, permitindo que seja explorada por atacantes.
- Google Threat Analysis Group (TAG): Equipe de segurança do Google que rastreia ameaças cibernéticas e vulnerabilidades de software.
- Bug bounty: Programa em que empresas oferecem recompensas a pesquisadores de segurança por descobrirem e reportarem vulnerabilidades de software.
- Pwn2Own: Competição anual de hacking onde pesquisadores competem para explorar vulnerabilidades em softwares populares.