Chrome corrige 8º dia zero de 2022 – verifique sua versão agora

O Google acaba de corrigir o oitavo navegador do Chrome buraco de dia zero do ano até agora.

Zero-days são bugs para os quais havia zero dias que você poderia ter atualizado proativamente…

…porque os cibercriminosos não apenas encontraram o bug primeiro, mas também descobriram como explorá-lo para fins nefastos antes que um patch fosse preparado e publicado.

Então, a versão rápida deste artigo é: vá para Chrome's Menu de três pontos (⋮), escolha Ajuda > Sobre o Chromee verifique se você tem a versão 107.0.5304.121 ou mais tarde.

Descobrindo dias zero

Duas décadas atrás, os dias-zero geralmente se tornavam amplamente conhecidos muito rapidamente, geralmente por um (ou ambos) de dois motivos:

• Um vírus ou worm de propagação automática foi lançado para explorar o bug. Isso tendia não apenas a chamar a atenção para a falha de segurança e como ela estava sendo abusada, mas também para garantir que cópias de trabalho independentes do código malicioso fossem espalhadas por toda parte para os pesquisadores analisarem.
• Um caçador de bugs não motivado por ganhar dinheiro lançou um código de amostra e se gabou disso. Paradoxalmente, talvez, isso prejudicou simultaneamente a segurança ao oferecer um “presente grátis” para os cibercriminosos usarem em ataques imediatamente e ajudou a segurança ao atrair pesquisadores e fornecedores para corrigi-lo ou encontrar uma solução alternativa rapidamente.

Hoje em dia, o jogo do dia zero é bem diferente, porque as defesas contemporâneas tendem a tornar as vulnerabilidades de software mais difíceis de explorar.

As camadas defensivas de hoje incluem: proteções adicionais incorporadas aos próprios sistemas operacionais; ferramentas de desenvolvimento de software mais seguras; linguagens de programação e estilos de codificação mais seguros; e ferramentas de prevenção de ciberameaças mais poderosas.

No início dos anos 2000, por exemplo – a era dos vírus de propagação super-rápida, como Código vermelho e SQL Slammer – quase qualquer estouro de buffer de pilha, e muitos, senão a maioria dos estouros de buffer de pilha, podem ser transformados de vulnerabilidades teóricas em explorações práticas em ordem rápida.

Em outras palavras, encontrar exploits e “eliminar” 0 dias às vezes era quase tão simples quanto encontrar o bug subjacente em primeiro lugar.

E com muitos usuários rodando com Administrator privilégios o tempo todo, tanto no trabalho quanto em casa, os invasores raramente precisavam encontrar maneiras de encadear exploits para assumir completamente o controle de um computador infectado.

Mas na década de 2020, viável exploits de execução remota de código – bugs (ou cadeias de bugs) que um invasor pode usar de forma confiável para implantar malware em seu computador apenas atraindo você para visualizar uma única página em um site com armadilhas, por exemplo – geralmente são muito mais difíceis de encontrar e valem muito mais dinheiro no cyberunderground como resultado.

Simplificando, aqueles que se apossam de explorações de dia zero hoje em dia tendem a não se gabar mais delas.

Eles também tendem a não usá-los em ataques que tornem óbvio o “como e o porquê” da invasão, ou que levem a amostras de trabalho do código de exploração prontamente disponíveis para análise e pesquisa.

Como resultado, os zero-days geralmente são notados apenas depois que uma equipe de resposta a ameaças é chamada para investigar um ataque que já foi bem-sucedido, mas onde métodos comuns de invasão (por exemplo, senhas com phishing, patches ausentes ou servidores esquecidos) não parecem funcionar. têm sido a causa.

Estouro de buffer exposto

Neste caso, agora oficialmente designado CVE-2022-4135, O inseto Foi relatado pelo próprio Grupo de Análise de Ameaças do Google, mas não foi encontrado proativamente, já que o Google admite que é “ciente de que uma façanha […] existe na selva.”

A vulnerabilidade recebeu uma Alta gravidade, e é descrito simplesmente como: Estouro de buffer de heap na GPU.

Estouros de buffer geralmente significam que o código de uma parte de um programa grava fora dos blocos de memória oficialmente alocados a ele e atropela os dados que mais tarde serão considerados (e, portanto, serão implicitamente confiáveis) por alguma outra parte do programa.

Como você pode imaginar, há muita coisa que pode dar errado se um estouro de buffer for acionado de uma maneira tortuosa que evite uma falha imediata do programa.

O estouro pode ser usado, por exemplo, para envenenar um nome de arquivo que alguma outra parte do programa está prestes a usar, fazendo com que ele escreva dados onde não deveria; ou para alterar o destino de uma conexão de rede; ou até mesmo para alterar o local na memória a partir do qual o programa executará o código a seguir.

O Google não diz explicitamente como esse bug pode ser (ou foi) explorado, mas é sensato supor que algum tipo de execução remota de código, que é amplamente sinônimo de “implantação clandestina de malware”, é possível, dado que o bug envolve má administração da memória.

O que fazer?

O Chrome e o Chromium são atualizados para 107.0.5304.121 no Mac e Linux, e para 107.0.5304.121 or 107.0.5304.122 no Windows (não, não sabemos por que existem duas versões diferentes), portanto, verifique se você possui números de versão iguais ou mais recentes que esses.

Para verificar sua versão do Chrome e forçar uma atualização se estiver atrasada, acesse o Menu de três pontos (⋮) e escolha Ajuda > Sobre o Chrome.

O Microsoft Edge, como você provavelmente sabe, é baseado no código Chromium (o núcleo de código aberto do Chrome), mas não teve uma atualização oficial desde o dia anterior aos pesquisadores de ameaças do Google registrarem esse bug (e não teve uma atualização que lista explicitamente todas as correções de segurança desde 2022-11-10).

Portanto, não podemos dizer se o Edge foi afetado ou se você deve esperar uma atualização para esse bug, mas recomendamos ficar de olho no Microsoft's notas de lançamento oficiais apenas no caso de.

---