O Google lançou uma atualização para o navegador Chrome que corrige cinco falhas de segurança, incluindo uma vulnerabilidade que está sendo explorada ativamente por atacantes.
O Google está ciente dos relatos sobre a existência de um exploit para a vulnerabilidade CVE-2020-15999 e que essa falha está sendo usada ativamente por cibercriminosos, destacou o Google sobre a vulnerabilidade zero-day no FreeType, uma biblioteca de desenvolvimento de software bastante usada e que também é um componente do Chrome. A falha nessa biblioteca para renderização de fontes afeta as versões do navegador para Windows, macOS e Linux.
A falha, classificada como de alta severidade, foi reportada em 19 de outubro por Sergei Glazunov, um membro do Project Zero do Google, e a atualização foi lançada logo depois. Até agora não é possível saber muitos detalhes sobre essa vulnerabilidade, embora o Google tenha revelado que a falha de corrupção de memória no FreeType causa um overflow do buffer no heap.
Overflow no heap são conhecidos por causar corrupção de dados ou comportamentos inesperados, que podem ser usados para explorar um programa no qual ocorre overflow de memória.
“Este é um lançamento de emergência, que corrige uma vulnerabilidade grave no manuseio de mapas de bits PNG incorporados. Por isso, todos os usuários devem baixar a atualização imediatamente”, diz a mensagem publicada no site FreeType.
Ben Hawkes, o líder técnico do Project Zero, tweetou que, embora a equipe tenha identificado apenas um exploit direcionado ao Chrome, aqueles que usam o FreeType também devem corrigir seus sistemas para que não sejam alvos de cibercriminosos que possam tentar explorar a falha de segurança. Hawkes também destacou suas preocupações sobre a possibilidade de que essa vulnerabilidade zero-day também possa afetar o Chrome para Android.
does this affect chrome android as well?
— yan (@bcrypt) October 21, 2020
A atualização também corrigiu quatro outras vulnerabilidades, três delas consideradas falhas de gravidade alta e uma de severidade média.
Caso você tenha ativado as atualizações automáticas, seu navegador deve atualizar sozinho para a versão mais recente: 86.0.4240.111. No entanto, se você não ativou essa opção, terá que fazer isso manualmente por meio da seção “Sobre o Google Chrome”, que está dentro de “Ajuda” no menu lateral.