Google detecta terceira vulnerabilidade zero day no Chrome

ANÚNCIO

O Google lançou recentemente outra atualização de segurança para o navegador Android Chrome a fim de corrigir uma vulnerabilidade particular da falha zero day.

Google padroniza terceira vulnerabilidade em atualização do Chrome
Foto: (reprodução/internet)

A versão 86.0.4240.185 do Android Chrome foi lançada anteriormente de acordo com o blog oficial do Google e inclui correções para o CVE-2020-16010 em particular, que é uma vulnerabilidade de heap buffer overflow localizado no Chrome para a interface de usuário do Android ou componente UI (interface do usuário).

ANÚNCIO

Declarações do Google sobre o Chrome Zero-Day

O Google declarou que o bug foi então aproveitado a fim de permitir que certos atacantes pudessem contornar e escapar da caixa de areia de segurança padrão Chrome programada em dispositivos Android e também executar certos códigos no SO subjacente dado.

Os detalhes sobre o recente ataque ainda não foram ao público à medida que o usuário instalava as atualizações.

Também impede que outros possíveis fatores de ameaça desenvolvam as explorações dadas para o mesmo Zero-Day.

ANÚNCIO

O Google credita o Grupo de Análise de Ameaças ou equipe interna por serem os únicos a descobrir os ataques de dia zero do Android Chrome. Isto marca então a terceira falha zero day do Chrome que foi descoberta pela equipe oficial durante as duas últimas semanas.

Durante as duas primeiras vulnerabilidades zero day, apenas o Chrome para versões desktop foi afetado.

A vulnerabilidade do Google Chrome foi exposta

O primeiro problema foi remendado em 20 de outubro e foi rastreado como o CVE-2020-15999. Isto supostamente só afetou a biblioteca de renderização de fontes, a FreeType do próprio Chrome.

Durante um relatório de acompanhamento lançado na semana passada, o Google declarou que a primeira falha zero day do Chrome foi utilizada com a falha zero day do Windows, de acordo com um artigo da ZDNet.

Leia também: Google corrige problemas do Microsoft Office e aumenta restrições da Web

A primeira falha zero day do Chrome foi supostamente parte de uma cadeia de exploração em duas etapas em particular.

Agora, com a falha zero day Chrome permitindo que certos atacantes executassem algum código malicioso localizado dentro do Chrome, os atacantes são capazes de atingir o Windows subjacente. Isto é feito enquanto o Windows zero-day foi usado pela primeira vez para elevar os privilégios do código.

Este não foi a primeira falha do Google

Para completar, o Google também corrigiu o segundo Zero-Day (ou Dia Zero) e conseguiu rastreá-lo como CVE-2020-16009.

Este Dia Zero foi descrito como sendo uma execução remota de código feita no JavaScript do Chrome V8.

Leia mais:

Poucas horas depois que a equipe oficial do Chrome lançou as primeiras correções para o segundo dia zero, o Google revelou então o terceiro Zero-Day que só teria impacto em sua versão do Android Chrome. Embora todos os três zero-dias sejam todos ditos bastante diferentes um do outro, o impacto também atingiu diferentes componentes e versões do Chrome.

O Google, no entanto, não esclareceu se cada uma das falha zero day está sendo explorada pelo mesmo ator ou sendo explorado por vários grupos.

Traduzido e adaptado por equipe Revolução.etc.br

Fonte: Tech Times, Google Blog, ZDNet

ANÚNCIO