A última atualização do Google Navegador Chrome foi lançado, aumentando o número da versão de quatro partes para 104.0.5112.101 (Mac e Linux), ou para 104.0.5112.102 (Janelas).
Segundo o Google, a nova versão inclui 11 correções de segurança, uma das quais traz a anotação de que “existe uma exploração [para esta vulnerabilidade] à solta”, tornando-o um buraco de dia zero.
O nome dia zero é um lembrete de que não houve dias em que até mesmo o usuário ou administrador de sistema mais bem informado e proativo poderia ter sido corrigido antes dos bandidos.
Atualizar detalhes
Os detalhes sobre as atualizações são escassos, visto que o Google, assim como muitos outros fornecedores atualmente, restringe o acesso aos detalhes do bug “até que a maioria dos usuários seja atualizada com uma correção”.
Mas o Google boletim de lançamento enumera explicitamente 10 dos 11 bugs, como segue:
- CVE-2022-2852: Use gratuitamente no FedCM.
- CVE-2022-2854: Use gratuitamente no SwiftShader.
- CVE-2022-2855: Use depois de liberado em ANGLE.
- CVE-2022-2857: Use depois gratuitamente no Blink.
- CVE-2022-2858: Use gratuitamente no Sign-In Flow.
- CVE-2022-2853: Estouro de buffer de heap em downloads.
- CVE-2022-2856: Validação insuficiente de entrada não confiável em Intents. (Dia zero.)
- CVE-2022-2859: Use gratuitamente no Chrome OS Shell.
- CVE-2022-2860: Aplicação insuficiente de políticas em Cookies.
- CVE-2022-2861: Implementação inadequada na API de extensões.
Como você pode ver, sete desses bugs foram causados por mau gerenciamento de memória.
A usar depois de livre vulnerabilidade significa que uma parte do Chrome devolveu um bloco de memória que não planejava mais usar, para que pudesse ser realocado para uso em outro lugar no software…
…apenas para continuar usando essa memória de qualquer maneira, potencialmente fazendo com que uma parte do Chrome dependa de dados em que pensava poder confiar, sem perceber que outra parte do software ainda pode estar adulterando esses dados.
Freqüentemente, bugs desse tipo fazem com que o software trave completamente, atrapalhando cálculos ou acesso à memória de forma irrecuperável.
Às vezes, porém, bugs de uso após liberação podem ser acionados deliberadamente para direcionar incorretamente o software, fazendo com que ele se comporte mal (por exemplo, ignorando uma verificação de segurança ou confiando no bloco errado de dados de entrada) e provocando comportamento não autorizado.
A estouro de buffer de pilha significa solicitar um bloco de memória, mas gravar mais dados do que cabem nele com segurança.
Isso transborda o buffer oficialmente alocado e sobrescreve os dados no próximo bloco de memória, mesmo que essa memória já possa estar em uso por alguma outra parte do programa.
Portanto, estouros de buffer normalmente produzem efeitos colaterais semelhantes aos bugs de uso após liberação: principalmente, o programa vulnerável irá travar; às vezes, porém, o programa pode ser induzido a executar código não confiável sem aviso prévio.
O buraco do dia zero
O bug do dia zero CVE-2022-2856 é apresentado com não mais detalhes do que você vê acima: “Validação insuficiente de entrada não confiável em Intents.”
Um Chrome Intenção é um mecanismo para acionar aplicativos diretamente de uma página da web, no qual os dados da página da web são alimentados em um aplicativo externo iniciado para processar esses dados.
O Google não forneceu detalhes sobre quais aplicativos ou que tipo de dados podem ser manipulados maliciosamente por esse bug…
…mas o perigo parece bastante óbvio se a exploração conhecida envolver alimentar silenciosamente um aplicativo local com o tipo de dados arriscados que normalmente seriam bloqueados por motivos de segurança.
O que fazer?
O Chrome provavelmente será atualizado sozinho, mas sempre recomendamos verificar de qualquer maneira.
No Windows e Mac, use Mais > Ajuda > Sobre o Google Chrome > Atualize o Google Chrome.
Há um boletim de lançamento separado para Chrome para iOS, que vai para a versão 104.0.5112.99, mas ainda não há boletim [2022-08-17T12:00Z] que mencione o Chrome para Android.
No iOS, verifique se os aplicativos da App Store estão atualizados. (Use o próprio aplicativo App Store para fazer isso.)
Você pode assistir a qualquer anúncio de atualização futura sobre o Android no Google Chrome Releases blog
A variante de código aberto Chromium do navegador proprietário Chrome também está atualmente na versão 104.0.5112.101.
Microsoft Edge notas de segurança, no entanto, atualmente [2022-08-17T12:00Z] diz:
16 de agosto de 2022
A Microsoft está ciente da recente exploração existente à solta. Estamos trabalhando ativamente no lançamento de um patch de segurança conforme relatado pela equipe do Chromium.
Você pode ficar atento a uma atualização do Edge no site oficial da Microsoft Atualizações de segurança de borda Disputas de Comerciais.
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Google Chrome
- Kaspersky
- malwares
- Mcafee
- Segurança nua
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- vulnerabilidade
- a segurança do website
- zefirnet
![S3 Ep96: Zoom 0-day, vazamento AEPIC, recompensa Conti, segurança de saúde [Áudio + Texto] PlatoBlockchain Data Intelligence. Pesquisa Vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2-300x157.png "S3 Ep96: Zoom 0-day, vazamento AEPIC, recompensa Conti, segurança de saúde [Áudio + Texto]")
![S3 Ep115: Histórias de crimes reais – Um dia na vida de um combatente do crime cibernético [Áudio + Texto] PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.](https://platoblockchain.com/wp-content/uploads/2022/12/pm-expert-1200-360x188.png "S3 Ep115: Histórias de crimes reais – Um dia na vida de um combatente do cibercrime [Áudio + Texto]")
