Nas últimas semanas, o Google lançou novas atualizações para o navegador Google Chrome e corrigiu uma série de vulnerabilidades. No total, onze vulnerabilidades foram corrigidas no Chrome durante 2024, das quais sete eram de zero-day. Essas falhas afetam o Google Chrome - o navegador mais visado pelos cibercriminosos - e potencialmente outros navegadores baseados no Chromium que também devem ser atualizados.

Três vulnerabilidades de zero-day somente neste mês

No início de maio, foram lançadas correções para as vulnerabilidades de zero-day CVE-2024-4947, CVE-2024-4671 e CVE-2024-4761. Em todos os casos, o Google confirmou que está ciente de relatórios que indicam a exploração ativa dessas falhas.

No caso da CVE-2024-4947, trata-se de uma vulnerabilidade de alta gravidade do tipo "type confusion" no mecanismo V8 JavaScript e WebAssembly usado pelo navegador. Ela permite que um invasor remoto execute códigos arbitrários dentro de uma área restrita enviando uma página HTML especialmente criada.

Na semana anterior, a empresa havia lançado um patch para corrigir as falhas CVE-2024-4671 e CVE-2024-4761. A primeira é uma vulnerabilidade do tipo use after free no componente Visual e a segunda é um erro de escrita out of bounds no mecanismo V8 JavaScript.

A Agência de Infraestrutura e Segurança Cibernética dos EUA adicionou essas vulnerabilidades ao seu catálogo de falhas exploradas e conhecidas com base em evidências do uso dessas falhas por cibercriminosos.

Outras vulnerabilidades de zero-day corrigidas no Google Chrome este ano

A seguir, destacamos os detalhes das outras vulnerabilidades de zero-day corrigidas este ano pelo Google.

  • CVE-2024-0519: vulnerabilidade descoberta em janeiro de 2024 que afeta outros navegadores baseados no Chromium e pode ser explorada por meio de páginas HTML especialmente criadas.
  • CVE-2024-2887: vulnerabilidade de alta gravidade do tipo "type confusion" no WebAssembly (Wasm). Ela pode levar a exploits de execução remota de código usando páginas HTML especialmente criadas.
  • CVE-2024-2886: vulnerabilidade do tipo use after free na API WebCodecs, que é usada por aplicativos da Web para codificar e decodificar áudio e vídeo. Essa falha pode ser explorada para realizar ataques arbitrários de gravação ou leitura de código no computador da vítima por meio de páginas HTML especialmente criadas.
  • CVE-2024-3159: essa é uma vulnerabilidade de alta gravidade que permite leitura out of bounds no mecanismo V8 do Chrome. Um invasor remoto pode explorá-la para acessar dados além do buffer de memória alocado e extrair informações confidenciais.

Como atualizar o sistema?

As novas versões serão implantadas automaticamente nos próximos dias (125.0.6422.60/.61 para Mac/Windows e 125.0.6422.60 para Linux). Você pode verificar se o seu navegador está atualizado acessando "Ajuda/Sobre o...", que pode ser encontrada clicando nos três pontos no canto superior direito da tela, em todos os navegadores baseados no Chromium.

Dicas de segurança

É importante atualizar seu navegador regularmente para garantir que sejam aplicados todos os patches de segurança que corrigem vulnerabilidades que podem ser exploradas por cibercriminosos para acessar suas informações pessoais ou assumir o controle do seu dispositivo.

Além disso, lembre-se de manter suas senhas fortes e exclusivas para cada site ou serviço on-line; ative a autenticação de dois fatores; mantenha seu software atualizado; e tenha uma solução antimalware.