O Google lançou recentemente outra atualização de segurança para o navegador Android Chrome a fim de corrigir uma vulnerabilidade particular da falha zero day.
A versão 86.0.4240.185 do Android Chrome foi lançada anteriormente de acordo com o blog oficial do Google e inclui correções para o CVE-2020-16010 em particular, que é uma vulnerabilidade de heap buffer overflow localizado no Chrome para a interface de usuário do Android ou componente UI (interface do usuário).
Declarações do Google sobre o Chrome Zero-Day
O Google declarou que o bug foi então aproveitado a fim de permitir que certos atacantes pudessem contornar e escapar da caixa de areia de segurança padrão Chrome programada em dispositivos Android e também executar certos códigos no SO subjacente dado.
Os detalhes sobre o recente ataque ainda não foram ao público à medida que o usuário instalava as atualizações.
Também impede que outros possíveis fatores de ameaça desenvolvam as explorações dadas para o mesmo Zero-Day.
O Google credita o Grupo de Análise de Ameaças ou equipe interna por serem os únicos a descobrir os ataques de dia zero do Android Chrome. Isto marca então a terceira falha zero day do Chrome que foi descoberta pela equipe oficial durante as duas últimas semanas.
Durante as duas primeiras vulnerabilidades zero day, apenas o Chrome para versões desktop foi afetado.
A vulnerabilidade do Google Chrome foi exposta
O primeiro problema foi remendado em 20 de outubro e foi rastreado como o CVE-2020-15999. Isto supostamente só afetou a biblioteca de renderização de fontes, a FreeType do próprio Chrome.
Durante um relatório de acompanhamento lançado na semana passada, o Google declarou que a primeira falha zero day do Chrome foi utilizada com a falha zero day do Windows, de acordo com um artigo da ZDNet.
Leia também: Google corrige problemas do Microsoft Office e aumenta restrições da Web
A primeira falha zero day do Chrome foi supostamente parte de uma cadeia de exploração em duas etapas em particular.
Agora, com a falha zero day Chrome permitindo que certos atacantes executassem algum código malicioso localizado dentro do Chrome, os atacantes são capazes de atingir o Windows subjacente. Isto é feito enquanto o Windows zero-day foi usado pela primeira vez para elevar os privilégios do código.
Este não foi a primeira falha do Google
Para completar, o Google também corrigiu o segundo Zero-Day (ou Dia Zero) e conseguiu rastreá-lo como CVE-2020-16009.
Este Dia Zero foi descrito como sendo uma execução remota de código feita no JavaScript do Chrome V8.
Leia mais:
Poucas horas depois que a equipe oficial do Chrome lançou as primeiras correções para o segundo dia zero, o Google revelou então o terceiro Zero-Day que só teria impacto em sua versão do Android Chrome. Embora todos os três zero-dias sejam todos ditos bastante diferentes um do outro, o impacto também atingiu diferentes componentes e versões do Chrome.
O Google, no entanto, não esclareceu se cada uma das falha zero day está sendo explorada pelo mesmo ator ou sendo explorado por vários grupos.
Traduzido e adaptado por equipe Revolução.etc.br
Fonte: Tech Times, Google Blog, ZDNet