Google Chrome corrige vulnerabilidade que permite a execução de código

O Google Chrome corrigiu uma falha na versão 85 beta, que está disponível a partir de hoje (25) como a versão 85 estável do navegador. É uma vulnerabilidade (CVE-2020-6492) de alta gravidade do tipo use-after-free no componente WebGL (Web Graphics Library) do Google Chrome que pode ser usada por um atacante para executar código arbitrário.

O componente WebGL é uma API Javascript usada para criar gráficos 3D no Google Chrome e em outros navegadores sem a necessidade de plug-ins. A vulnerabilidade, presente na versão 81.0.4044.138 do Chrome (estável), bem como na 84.0.4136.5 (Dev) e na 84.0.4143.7 (Canary), foi descoberta pela equipe da Cisco Talos em maio e ocorre quando esse componente usa de forma incorreta objetos na memória. Quanto à gravidade, a falha recebeu pontuação de 8,3 em uma escala de 10.

Segundo os pesquisadores responsáveis ​​pela descoberta, a vulnerabilidade está presente no ANGLE, “uma camada compatível entre OpenGL e Direct3D usada no Windows tanto pelo Google Chrome quanto por outros projetos.

A falha veio à tona após a descoberta, no início de agosto, de uma vulnerabilidade em navegadores baseados em Chromium que, de acordo com o portal ThreatPost, permite que um atacante possa burlar a proteção fornecida pela Content Security Policy (CSP) em um site para roubar dados de usuários que acessem a página e executar código.

Leia também:

• Como configurar o Tor para navegar com segurança na Deep Web
• 8 extensões úteis para quem trabalha com segurança digital