O Google lançou, nesta semana, uma atualização de emergência para seu navegador Chrome, incluindo correções para duas vulnerabilidades zero-day graves que, segundo a empresa, estão sendo exploradas ativamente.
Mais precisamente, as vulnerabilidades estão sendo rastreadas com os identificadores CVE-2021-38000
e CVE-2021-38003
— ambos encontradas pelo Threat Analysis Group (TAG), do próprio Google.
A primeira é uma falha de projeto devido à “validação insuficiente de entrada não confiável nas intenções”. A segunda é uma falha de corrupção de memória, a qual permite que invasores criem “ferramentas de exploração excepcionalmente poderosas” que são difíceis de mitigar com as tecnologias de segurança existentes.
Como é política padrão, o Google não compartilhou outros detalhes sobre as correções ou os cenários de ataque nos quais as falhas foram usadas. A empresa também não atribuiu as explorações a nenhum grupo de invasores.
Vale notar que o update mais recente marca a 14ª tentativa do Google de corrigir vulnerabilidades graves no Chrome este ano. Além disso, como ambas foram (e podem ser) usadas em ataques, sugere-se que todos os usuários do Chrome façam o update o quanto antes.
via The Hacker News