O Google emitiu 11 correções de segurança para o Chrome para desktop, incluindo um bug que tem uma exploração para ele em estado selvagem.
Essa vulnerabilidade de alta gravidade, rastreada como CVE-2022-2856 , é um bug de validação de entrada impróprio e, como de costume, o Google não divulga muitos detalhes sobre ele até que a maioria dos usuários do Chrome seja atualizada e o código seja corrigido.
Em um comunicado, o A gigante da internet descreveu a falha como “validação insuficiente de entrada não confiável em Intents” e observou que “está ciente de que existe uma exploração para CVE-2022-2856 em estado selvagem”. ser usado para iniciar aplicativos de páginas da Web e transmitir dados para esses aplicativos.
Os pesquisadores de segurança da Sophos observam que o Google não forneceu detalhes sobre como essa funcionalidade pode ser manipulada para comprometer o dispositivo de um usuário. “O perigo parece bastante óbvio se a exploração conhecida envolve alimentar silenciosamente um aplicativo local com o tipo de dados arriscados que normalmente seriam bloqueados por motivos de segurança”, acrescentou Paul Ducklin, da Sophos.
Googlers Ashley Shen e Christian Resell, ambos parte do Grupo de Análise de Ameaças, relataram a vulnerabilidade em 19 de julho.
Este é o quinto bug do Chrome que o Google corrigiu este ano que foi explorado ou tinha código de exploração à solta .
Embora o Google não tenha conhecimento de nenhuma exploração para os bugs restantes na lista de hoje, um recebeu uma classificação de gravidade crítica e outros cinco foram considerados de alta gravidade.
O Center for Internet Security, que classificou o risco dessas vulnerabilidades do Chrome como “alto” para agências e empresas governamentais de grande e médio porte e “médio” para pequenos governos e empresas, alertou que os bugs mais graves permitiriam que um invasor executar código malicioso “no contexto do usuário conectado.”
“Dependendo dos privilégios associados ao usuário, um invasor pode instalar programas; visualizar, alterar ou excluir dados; ou criar novas contas com direitos totais de usuário”, CIS e explicado em um aviso de segurança. “Usuários cujas contas estão configuradas para ter menos direitos de usuário no sistema podem ser menos impactados do que aqueles que operam com direitos de usuário administrativo.”
Além do bug sob exploração ativa, o Google detalhou nove dos os 11 bugs em sua atualização (104.0.5112.101 para Mac e Linux e 104.0.5112.102/101 para Windows). São eles:
O Programa de recompensa de vulnerabilidade do Chrome pago pelo menos $ 29.000 para caçadores de bugs que descobriram e relataram essas falhas.
Isso incluiu duas recompensas de US$ 7.000 pagas a Cassidy Kim do Amber Security Lab para CVE-2022-2854 e CVE-2022-2855; uma recompensa de US$ 5.000 para uma pessoa anônima pelo CVE-2022-2857; outros US$ 5.000 para corvos no laboratório KunLun para CVE-2022-2858; US$ 3.000 para Nan Wang e Guang Gong do 360 Alpha Lab para CVE-2022-2859; e US$ 2.000 para Axel Chong pelo CVE-2022-2860.
No total, o Google pagou US$ 8,7 milhões em recompensas a quase 700 pesquisadores em seus vários VPRs no ano passado. ®
Falando em patches… Acabamos de ver que a Apple lançou o macOS 12.5.1, iOS 15.6.1 e iPadOS 15.6.1 atualizações para corrigir uma falha no kernel (CVE-2022-32894) que pode ser abusada por um aplicativo para obter controle total do Mac ou dispositivo e uma falha no WebKit (CVE-2022-32893) que pode ser explorada para execução código arbitrário.
Alguém poderia assim combinar a exploração das duas falhas para que, quando uma vítima abrir uma página da Web com armadilha em um navegador WebKit, como o Safari, a página possa começar a executar código arbitrário para explorar a falha de escalonamento de privilégios para seqüestrar o computador ou iThing e instalar spyware e outros males.
E, de fato, a Apple disse que “está ciente de um relatório de que esse problema pode ter sido explorado ativamente”. então comece a corrigir o mais rápido possível!
