Uma nova vulnerabilidade de dia zero no Google Chrome está a ser explorada in-the-wild pelos criminosos. 

O investigador Clement Lecigne, do Google’s Threat Analysis Group, descobriu e reportou uma vulnerabilidade de alta gravidade no Chrome no último mês que permitia que atacantes remotos executassem código arbitrário e assumissem o controlo total dos computadores.

A vulnerabilidade, identificada como CVE-2019-5786, afeta o Google Chrome para todos os principais sistemas operativos no mercado, incluindo o Microsoft Windows, o Apple macOS e o Linux.

Sem revelar detalhes técnicos da vulnerabilidade, a equipa de segurança do Google Chrome diz apenas que o problema é uma vulnerabilidade de use-after-free no componente FileReader do navegador Google Chrome, que leva a ataques de execução remota de código.

A má notícia é que o Google alertou que esta vulnerabilidade do tipo RCE está a ser explorada massivamente pelos criminosos.

“Access to bug details and links may be kept restricted until a majority of users are updated with a fix,” the Chrome security team notes. “We will also retain restrictions if the bug exists in a third party library that other projects similarly depend on, but haven’t yet fixed.”

 

FileReader é uma API padrão que foi projetada para permitir que aplicações leiam de forma assíncrona o conteúdo de ficheiros (ou buffers de dados brutos) armazenados no computador de um utilizador, usando objetos ‘File’ ou ‘Blob’ para especificar o ficheiro ou dados a serem lidos.

O Google já remendou a vulnerabilidade para a versão mais recente do Chrome 72.0.3626.121, e para ambos os SOs Windows, Mac e Linux.