O Google lançou uma nova atualização para o navegador Chrome na qual corrige uma série de falhas de segurança, incluindo uma vulnerabilidade zero-day conhecida por ser ativamente explorada por cibercriminosos. As vulnerabilidades afetam as versões para Windows, macOS e Linux do navegador.
"O Google está ciente dos relatórios que fazem referência à existência de exploits para a falha CVE-2021-21224 que estão sendo utilizados como parte de uma campanha maliciosa", disse o Google sobre a vulnerabilidade zero-day recentemente conhecida e que deriva de um bug do tipo “type confusion” no mecanismo V8 JavaScript usado no Chrome e em outros navegadores baseados em Chromium.
Além da vulnerabilidade zero-day, a nova versão do Chrome corrige seis outras falhas de segurança. Quatro delas foram classificadas pelo Google como de alta gravidade e foram corrigidas graças às contribuições de pesquisadores externos. A primeira dessas vulnerabilidades, registrada como CVE-2021-21222, também afeta o mecanismo V8, porém, neste caso, é um erro de buffer overflow no heap.
A segunda falha, registrada como CVE-2021-21225, também reside no componente V8 e se manifesta como um erro de acesso à memória fora dos limites. Em relação à CVE-2021-21223, a falha afeta ao Mojo como um erro de integer overflow. A quarta vulnerabilidade de alta gravidade é a CVE-2021-21226, uma falha do tipo use-after-free descoberta na navegação do Chrome.
“A exploração da falha mais grave entre essas vulnerabilidades pode permitir que um invasor execute código arbitrário no contexto do navegador. Dependendo dos privilégios associados ao aplicativo, um invasor pode visualizar, alterar ou excluir dados ”, alertou o Center for Internet Security.
Como é comum nesses tipos de lançamentos, o Google não especificou mais detalhes sobre as falhas de segurança corrigidas até que a maioria dos usuários tenham a oportunidade de atualizar seus navegadores para a versão mais recente, reduzindo a possibilidade de que as vulnerabilidades sejam exploradas por cibercriminosos.
Considerando as vulnerabilidades reportadas, o ideal é que os usuários atualizem seus navegadores para a versão mais recente (90.0.4430.85) o mais rápido possível. Se você ativou as atualizações automáticas, seu navegador deve ser atualizado normalmente. Você também pode atualizar manualmente o seu navegador através da seção “Sobre o Google Chrome”, que pode ser encontrada em “Ajuda” na barra de menu.
Essa atualização acabou chegando depois de duas atualizações anteriores lançadas em março, nas quais corrigiram duas falhas zero-day, e depois de outras quatro atualizações entre janeiro e fevereiro de 2021. Como se isso não bastasse, antes desta última atualização e também em abril, o Google lançou outras atualizações na semana passada para corrigir outras falhas zero-day no navegador, algumas delas foram publicadas no Twitter.