A CVE-2021-21166 é uma das mais graves vulnerabilidades das 47 corrigidas pelo Google na atualização mais recente para a versão 89.0.4389.72 do Google Chrome, lançada na última terça-feira (02).

Embora a empresa tenha explicado que não dará mais detalhes sobre essa falha em particular até que vários usuários tenham atualizado o navegador, sabe-se que é uma vulnerabilidade relacionada a um problema de ciclo de vida de objetos em áudio.

A vulnerabilidade foi relatada em 11 de fevereiro por Alison Huffman, que também relatou outras falhas de alta gravidade que foram corrigidas na última atualização para Windows, Linux e Mac: a CVE-2021-21165, que também está relacionada a um problema de ciclo de vida de objetos em áudio, e a CVE-2021-21163, que de acordo com sua breve descrição está relacionada a um problema de validação de dados insuficiente.

A Google explicou que está ciente dos relatórios que indicam que há um exploit para essa vulnerabilidade que está sendo usado ativamente. Portanto, é recomendável atualizar o navegador o mais rápido possível. Para isso, basta clicar nos três pontos verticais no canto superior direito do navegador e escolher a opção Help > About Google Chrome.

Devemos lembrar que essa é a segunda vulnerabilidade zero-day corrigida no Chrome até agora neste ano. Em fevereiro, a falha CVE-2021-21148 descrita como um overflow do buffer no heap na V8 foi corrigida. No ano passado foram corrigidas cinco vulnerabilidades zero-day que estavam sendo ativamente exploradas, todas entre outubro e novembro de 2020.