O Google e o Mozilla estão solicitando aos usuários que atualizem seus navegadores e corrijam algumas vulnerabilidades graves no Chrome e Firefox. Caso sejam exploradas, as falhas podem permitir que atacantes assumam os sistemas dos usuários. É importante destacar que até o momento nenhuma das vulnerabilidades foram exploradas em campanhas criminosas.
Chrome
A nova versão estável do Chrome, a 87.0.4280.141, traz 16 correções de segurança. Embora o gigante da tecnologia não informe detalhes sobre todas elas, pelo menos até que a maior parte de sua base de usuários receba as atualizações, pesquisadores de segurança de fora da empresa reportaram patches para 13 vulnerabilidades.
Entre as vulnerabilidades, doze foram classificadas como de alto risco, enquanto uma foi categorizada como de gravidade média. A maioria das falhas de alta severidade são erros do tipo use-after-free, ou seja, falhas de corrupção de memória que encontram-se em vários componentes do Chromium. Elas podem ser exploradas caso um usuário visite ou seja redirecionado para uma página web especialmente criada para obter a execução remota de código no contexto do navegador, destacou o Center for Internet Security (CIS).
O Google pagou mais de US$ 110.000 aos pesquisadores de segurança que descobriram e reportaram as vulnerabilidades.
A Cybersecurity and Infrastructure Security Agency (CISA) dos EUA emitiu um alerta de segurança solicitando aos usuários e administradores de sistema que atualizem o navegador: “O Google lançou a versão 87.0.4280.141 do Chrome para Windows, Mac e Linux. Esta versão corrige vulnerabilidades que podem ser exploradas por um atacante para assumir o controle de um sistema afetado.”
Firefox
Enquanto isso, o Mozilla lançou um patch que corrige uma falha de segurança classificada como crítica (CVE-2020-16044) e que afeta as versões anteriores ao Firefox 84.0.2, Firefox para Android 84.1.3 e Firefox ESR 78.6.1.
“Um cibercriminoso pode ter modificado um fragmento do COOKIE-ECHO em um pacote SCTP de uma forma que potencialmente resultou no uso inadequado da memória (use-after-free). Presumimos que, com um certo esforço, a falha poderia ter sido explorada para executar código arbitrário”, disse o Mozilla, descrevendo o vetor de ataque.
O protocolo de transmissão de controle de fluxo (SCTP) é usado para transportar vários fluxos de dados ao mesmo tempo entre dois pontos de extremidade que estão conectados à mesma rede. A falha no Firefox está em como o protocolo trata os dados dos cookies.
A CISA também emitiu um alerta solicitando aos usuários e administradores que atualizem seus softwares para proteger seus sistemas contra possíveis ataques.
O ideal é que os usuários atualizem os navegadores para suas respectivas versões mais recentes o mais rápido possível. Você pode baixar a versão mais recente do Chrome aqui e do Firefox aqui. Caso tenha ativado as atualizações automáticas, os seus navegadores serão atualizados automaticamente.