Atualize os navegadores web Chrome, Opera, Brave e Edge para evitar um ataque via 0day.

O Google lançou na terça-feira uma nova versão do Chrome para Windows, Mac e Linux com patches para duas vulnerabilidades de segurança recém-descobertas e denominadas dia zero (0day).

Uma das duas falhas diz respeito a uma validação insuficiente de entrada não confiável no mecanismo de renderização V8 JavaScript (CVE-2021-21220), que foi demonstrada por Bruno Keith e Niklas Baumstark da Dataflow Security no concurso de hacking Pwn2Own 2021 na semana passada.

Enquanto o Google se apressava para consertar a falha, o investigador de segurança Rajvardhan Agarwal publicou um exploit  no fim de semana fazendo engenharia reversa do patch.

 

 

O investigador disse acrescentou ainda que existe uma outra falha afetando os sistemas Chromium que não foi corrigida com este patch.

 

“Even though both the flaws are different in nature, they can be exploited to gain RCE in the renderer process,” Agarwal told The Hacker News via email. “I suspect that the first patch was released with the Chrome update because of the published exploit but as the second patch was not applied to Chrome, it can still be exploited.”, the researcher said.

 

 

“Google is aware of reports that exploits for CVE-2021-21206 and CVE-2021-21220 exist in the wild,” Chrome Technical Program Manager Prudhvikumar Bommana noted in a blog post.

 

É importante notar que a existência de um exploit não é uma clara evidência de exploração massiva por parte dos atores da ameaça. Desde o início do ano, o Google corrigiu três vulnerabilitidades no Chrome que estavam sob ataque, incluindo CVE-2021-21148, CVE-2021-21166 e CVE-2021-21193.

O Chrome 89.0.4389.128 deve ser lançado nos próximos dias. Os utilizadores podem atualizar para a versão mais recente acedendo: Configurações> Ajuda> Sobre o Google Chrome para reduzir o risco associado às falhas.

De notar que esta falha não so afeta o Chrome, como Chromium-based browsers, como o Opera, Brave e Edge.