O Google liberou ontem mais um update de emergência para o Chrome, desta vez com uma correção para uma vulnerabilidade do tipo zero-day que podia resultar na execução de códigos maliciosos em páginas HTML.
Essa falha, identificada pelo código CVE-2024-4947, foi notada primeiro pelos pesquisadores de segurança Vasily Berdnikov e Boris Larin, da Kaspersky. De acordo as informações, ela se trata uma falha de confusão (type confusion) de alta gravidade no motor JavaScript V8 do navegador.
Caso seja explorada, essa vulnerabilidade permite que uma pessoa mal intencionada execute um código arbitrário dentro de uma sandbox em uma página HTML. Ela, vale notar, chegou a ser explorada em ataques nos últimos dias, embora o Google não tenha dado mais detalhes sobre esses episódios.
De acordo com a companhia, a correção para esse problema faz parte da versão 125 do Chrome, que foi liberada para usuários da versão estável do navegador.
A falha não afeta apenas o Chrome, mas todos os navegadores baseados no engine Chromium. A Microsoft, por exemplo, já tomou conhecimento da existência desse bug e prometeu lançar uma correção para ele em uma futura versão do Edge.
CVE-2024-4761
Essa, vale notar, é a terceira venerabilidade zero-day corrigida pelo Chrome só na última semana, já que além da falha use-after-free (UAF) sobre a qual falamos na semana passada, a gigante de Mountain View também cuidou de outra: a CVE-2024-4761.
Corrigido na última segunda-feira (13/5), esse bug também afeta o motor JavaScript V8 do navegador, bem como o WebAssembly. Ele foi reportado anonimamente há exatamente uma semana, no dia 9/5.
Mais especificamente, a falha se trata de uma gravação fora dos limites (out-of-bounds write), a qual pode ser explorada para corromper dados, induzir a um crash ou executar códigos arbitrários.
A correção para essa vulnerabilidade foi incluída na versão 124.0.6367.207 do Chrome, já liberada para usuários de desktops. Para verificar se você está rodando a versão mais recente do Chrome no seu computador, basta ir até a seção “Sobre o Google Chrome”, presente nas configurações do software.
