O investigador Clement Lecigne, do Google’s Threat Analysis Group, descobriu e reportou uma vulnerabilidade de alta gravidade no Chrome no último mês que permitia que atacantes remotos executassem código arbitrário e assumissem o controlo total dos computadores.
A vulnerabilidade, identificada como CVE-2019-5786, afeta o Google Chrome para todos os principais sistemas operativos no mercado, incluindo o Microsoft Windows, o Apple macOS e o Linux.
Sem revelar detalhes técnicos da vulnerabilidade, a equipa de segurança do Google Chrome diz apenas que o problema é uma vulnerabilidade de use-after-free no componente FileReader do navegador Google Chrome, que leva a ataques de execução remota de código.
A má notícia é que o Google alertou que esta vulnerabilidade do tipo RCE está a ser explorada massivamente pelos criminosos.
“Access to bug details and links may be kept restricted until a majority of users are updated with a fix,” the Chrome security team notes. “We will also retain restrictions if the bug exists in a third party library that other projects similarly depend on, but haven’t yet fixed.”
FileReader é uma API padrão que foi projetada para permitir que aplicações leiam de forma assíncrona o conteúdo de ficheiros (ou buffers de dados brutos) armazenados no computador de um utilizador, usando objetos ‘File’ ou ‘Blob’ para especificar o ficheiro ou dados a serem lidos.
O Google já remendou a vulnerabilidade para a versão mais recente do Chrome 72.0.3626.121, e para ambos os SOs Windows, Mac e Linux.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.