Nesta semana, o Google lançou uma nova atualização para o navegador Google Chrome que corrige uma vulnerabilidade zero-day que havia sido reportada no último dia 1 de julho e que afeta tanto a versão para desktop quanto a versão para Android.
Registrada como CVE-2022-2294, a vulnerabilidade é considerada de alta gravidade no componente WebRTC que causa um overflow do buffer no heap, o que pode levar à execução arbitrária de códigos, ou seja, um atacante que explora a falha pode executar comandos ou injetar código em um aplicativo para realizar qualquer ação desejada, como desativar um software de segurança, por exemplo.
O Google também confirmou através de um comunicado que está ciente da existência de um exploit que está sendo ativamente utilizado para explorar essa vulnerabilidade.
Embora o Google não divulgue detalhes sobre a exploração da vulnerabilidade até que a maioria dos usuários realize a atualização dos navegadores para a sua última versão, é importante mencionar que esta é a quarta vulnerabilidade zero-day corrigida no Chrome apenas neste ano. Vale notar também que em 2021 foram corrigidas 17 vulnerabilidades zero-day no Chrome, muitas delas estavam sendo ativamente exploradas por atacantes quando as correções foram liberados.
Como exemplo para entender que tipo de atacante pode explorar vulnerabilidades no Chrome, em 2021 os pesquisadores da ESET analisaram uma campanha de espionagem que tinha como propósito comprometer sites estratégicos no Oriente Médio, na qual os operadores por trás da campanha se aproveitaram de duas vulnerabilidades no navegador reportadas naquele mesmo ano.
No Windows, Linux e macOS a nova versão do Chrome é a 103.0.5060.114 e para o Android é a 103.0.5060.71. Para atualizar o navegador, os usuários de desktop devem ir ao menu do Google Chrome, selecionar “Help” (Settings no Android) e depois “About Google Chrome”. A empresa disse que já lançou a nova versão e que ela estará disponível para todos os usuários nas próximas semanas.
