.
O Google lançou uma atualização de segurança para seu navegador Google Chrome no Windows, Mac e Linux para corrigir dez vulnerabilidades de segurança, algumas das quais podem permitir que invasores remotos travem sistemas vulneráveis.
O Google detalhou algumas das correções em uma atualização de lançamento do Google Chrome – embora a empresa esteja atualmente retendo detalhes completos sobre muitos dos problemas até que a maioria dos usuários aplique as atualizações, que devem ser lançadas nos próximos dias e semanas.
No total, a atualização mais recente do Google Chrome inclui 10 atualizações de segurança – que também estão disponíveis para o Google Chrome em dispositivos móveis, salvo indicação em contrário. Seis das atualizações foram classificadas como ‘alta gravidade’. Isso significa que as atualizações devem ser aplicadas o mais rápido possível.
As vulnerabilidades podem permitir que um invasor remoto explore a ‘corrupção de heap’ por meio de uma página HTML criada. A corrupção afeta o ‘heap’, uma área de memória pré-reservada do computador que um programa usa para armazenar uma quantidade variável de dados.
A corrupção do heap ocorre quando um programa danifica a visualização do heap, o que pode resultar em uma falha de memória a ponto de causar uma falha.
Também: Hackers do Google: por dentro da equipe vermelha de segurança cibernética que mantém o Google seguro
O CVE-2022-3885 é uma vulnerabilidade no V8, o mecanismo JavaScript de código aberto desenvolvido pelo Chromium Project para os navegadores Google Chrome e Chromium que pode causar corrupção de calor, enquanto o CVE-2022-3886 é uma vulnerabilidade no reconhecimento de fala no Google Chrome que podem ser explorados para o mesmo efeito.
CVE-2022-3887 é uma vulnerabilidade no Web Workers, que é usada no Google Chrome para executar scripts em segundo plano sem interferir na interface do usuário. CVE-2022-3888 é uma vulnerabilidade em WebCodecs no Google Chrome, que é usada para fornecer acesso de baixo nível a codificadores e decodificadores de mídia.
Enquanto isso, o CVE-2022-3889 é uma vulnerabilidade de confusão de tipos na V8, fornecendo ao programa o código errado. Cada uma dessas vulnerabilidades pode permitir que invasores explorem vulnerabilidades de corrupção de calor.
A última das vulnerabilidades a serem listadas publicamente é a CVE-2022-3890, um estouro de buffer de heap no Crashpad no Google Chrome no Android, que pode permitir que um invasor remoto execute uma fuga de sandbox, potencialmente permitindo que eles escalem privilégios em todo um ambiente hospedeiro.
“Também gostaríamos de agradecer a todos os pesquisadores de segurança que trabalharam conosco durante o ciclo de desenvolvimento para evitar que os bugs de segurança chegassem ao canal estável”, disse o Google, que pagou recompensas de bugs entre US$ 7.000 e US$ 21.000 aos pesquisadores que os descobriram.
Recomenda-se que os usuários apliquem o patch de segurança do Google Chrome para 107.0.5304.110 para Mac e Linux e 107.0.5304.106/.107 para Windows quando estiver disponível, para proteger os sistemas contra possíveis ataques.
MAIS SOBRE CIBERSEGURANÇA
.
