No início de março, o Google lançou a versão 89.0.4389.72 do Google Chrome e poucos dias depois lançou a versão 89.0.4389.90 voltada para Windows, Linux e Mac. No caso desta última versão, a empresa corrigiu uma nova vulnerabilidade zero-day, registrada como CVE-2021-21193. Além disso, a empresa também informou que está ciente da existência de um exploit que está sendo usado ativamente.
Na atualização anterior, o Google corrigiu 47 vulnerabilidades, incluindo a CVE-2021-21166, enquanto nesta atualização a empresa corrige apenas cinco vulnerabilidades.
No caso da falha zero-day corrigida nesta última atualização, a vulnerabilidade foi classificada como de alta prioridade e é uma falha do tipo "use after free" no mecanismo de renderização de código aberto conhecido como Blink.
Assim como na atualização anterior, a empresa não informou mais detalhes sobre a falha ou os ataques até o lançamento da atualização. De acordo com a Common Weakness Enumeration (CWE), esse tipo de vulnerabilidade pode ter várias consequências, como a execução de código de forma arbitrária. Neste caso, em computadores que usam uma versão desatualizada do navegador.
Como destacamos, essa é a segunda vulnerabilidade zero-day explorada ativamente por cibercriminosos desde março no Google Chrome e que foi corrigida pelo Google. Além disso, é a quarta falha zero-day de 2021, incluindo as cinco vulnerabilidades corrigidas entre outubro e novembro de 2020 que também estavam sendo exploradas ativamente.
A recomendação é que todos os usuários do Google Chrome atualizem o navegador para a versão mais recente o mais rápido possível.