Em três semanas, o gigante da internet Google descobriu um total de cinco falhas de segurança com o Chrome, um dos navegadores de internet mais utilizados atualmente, o que levou a empresa a lançar a versão 86.0.4240.198 do Chrome nesta quarta-feira, 11 de novembro, para corrigir as duas vulnerabilidades de dia zero que encontraram recentemente.
Novos dia zero descobertos
De acordo com a ZDNet, as três primeiras falhas de segurança foram encontradas internamente pela própria equipe de pesquisa de segurança do Google, mas a quarta e quinta foram trazidas à atenção da empresa por dicas anônimas.
As três primeiras vulnerabilidades foram descobertas em 20 de outubro e 2 de novembro, enquanto a quarta foi relatada na segunda-feira, 9 de novembro, e a última foi relatada no início da quarta-feira (11).
Até o momento, a empresa não anunciou nenhum detalhe sobre os ataques utilizando as explorações do dia zero, e os seguidores não têm certeza se os dias zero foram utilizados em conjunto ou individualmente.
O Google publicou um changelog Chrome 86.0.4240.198, onde as correções de segurança foram listadas como “uma implementação inadequada no V8, onde o V8 é o componente Chrome que manipula o código JavaScript“, bem como “uso após bug de corrupção de memória livre no Site Isolation”, para os zero-dias CVE-2020-16013 e CVE-2020-16017, respectivamente.
Leia mais:
Cinco falhas em três semanas
Os dois dias zero foram encontrados após a empresa ter liberado os remendos para os três primeiros dias zero encontrados, que foram descritos em um changelog separado.
A primeira falha de segurança, nomeada de CVE-2020-15999, foi descrita como um dia zero no “FreeType font rendering library” do navegador da web e foi usada junto com um dia zero do Windows que já foi remendado.
Leia também: Google detecta terceira vulnerabilidade zero day no Chrome
O CVE-2020-16009 foi um “bug v8 usado para execução de código remoto”, de acordo com o líder técnico do Project Zero do Google, Ben Hawkes (@benhawkes) via Twitter, que foi corrigido em 2 de novembro.
O último dia zero, CVE-2020-16010, foi encontrado no Chrome para Android e afetou o componente de interface de usuário (UI) do navegador, portanto, os usuários do Android também são aconselhados a atualizar seu Chrome para uma camada adicional de proteção.
Privacidade e segurança no Google Chrome
Com estas falhas de segurança encontradas, os usuários do Chrome devem começar a se preocupar?
No relatório da Gizmodo, os “dia zero” são geralmente afetam um pequeno grupo de alvos, portanto não há necessidade de pânico, no entanto, ainda é importante atualizar o Chrome para ajudar a se proteger.
Bloqueando o JavaScript
Em notícias relacionadas, a empresa também anunciou um novo recurso de segurança que fornecerá outra camada de segurança para quando os usuários clicarem em um link que abra a URL em outra aba ou janela.
Segundo o site BleepingComputer, o Google criou um atributo de link HTML para evitar que o JavaScript redirecione uma página.
Leia mais: Chromebook: Google adiciona ‘Lixeira’ para reciclar arquivos eliminados acidentalmente
De acordo com o desenvolvedor da Microsoft Edge, Eric Lawrence, o mesmo recurso será adicionado ao Chromium, portanto, Edge, Brave, Chrome e outros navegadores web baseados no Chromium terão este recurso de segurança adicional em breve.
A partir de agora, o recurso está disponível apenas no Chrome Canary, mas é esperado que seja lançado no Chrome 88 em janeiro de 2021.
Traduzido e adaptado por equipe Revolução.etc.br
Fontes: Tech Times, ZDNet, Gizmodo, Bleeping Computer