O Google lançou, na última sexta-feira (02), uma atualização para o Google Chrome que corrige uma nova vulnerabilidade zero-day no navegador. Classificada como CVE-2022-3075, a falha é uma vulnerabilidade de validação de dados insuficiente no Mojo, uma coleção de bibliotecas de tempo de execução que fornecem um mecanismo agnóstico de plataforma para comunicação entre processos (IPC).
A empresa confirmou que está ciente da existência de um exploit para essa falha que está sendo utilizada por cibercriminosos em ataques, embora não tenha dado detalhes sobre as características da vulnerabilidade.
Essa é a sétima falha zero-day corrigida pelo Google apenas neste ano. Vale lembrar que em 2021 a empresa corrigiu um total de 17 vulnerabilidades que estavam sendo utilizadas por atacantes antes de serem reportadas.
Para entender o impacto potencial dessas vulnerabilidades no Google Chrome, uma pesquisa realizada no ano passado pela Equipe de Pesquisa da ESET revelou detalhes de uma campanha de espionagem direcionada a sites estratégicos no Oriente Médio que exploravam uma das falhas zero-day corrigidas em 2021.
A primeira falha zero-day de 2022 foi a CVE-2022-0609 – esta vulnerabilidade foi corrigida no último mês de fevereiro e se trata de uma falha do tipo user-after-free. Recentemente, pesquisadores do Google revelaram detalhes de como essa vulnerabilidade foi explorada e afirmaram que pelo menos dois grupos de cibercriminosos exploraram a falha em campanhas maliciosas direcionadas a meios de comunicação, empresas de Fintech e de criptomoedas dos Estados Unidos (EUA) e de outros países. Uma dessas campanhas foi chamada de Operation Dream Job e os atacantes direcionaram os ataques a usuários através de falsas ofertas de emprego.
Recomendamos que os usuários do Google Chrome mantenham o navegador atualizado e verifiquem periodicamente se há novas versões disponíveis. Com esta atualização, a última versão do Chrome é a 105.0.5195.102 para Windows, Mac e Linux.