O Google lançou uma atualização para o Chrome em que corrige um bug de segurança que abria uma vulnerabilidade de dia zero e já estava sendo explorada por cibercriminosos. A brecha estava localizada num recurso que pré-carregava conteúdo de páginas próximas, corrigida na atualização 94.0.4606.61 do navegador.
Nomeada CVE-2021-37973, a falha foi notificada pelos especialistas Sergei Glazunov e Mark Brand, do Google Project Zero, e por Clément Lecigne, do Google TAG. Em um post dos desenvolvedores, a big tech não informou detalhes técnicos do bug, prometendo mais informações assim que o novo patch fosse instalado pela maioria dos usuários.
Segundo o Centro de Análise e Compartilhamento de Informações Multi-Estado (MS-ISAC), a falha de segurança está baseada no recurso poder carregar códigos arbitrários em sistemas vulneráveis, permitindo que criminosos virtuais vejam, modifiquem e apaguem dados.
Agência dos EUA também alerta para vulnerabilidade no Chrome
Além da notificação do patch do Google Chrome, a Agência de Cibersegurança e Infraestrutura dos Estados Unidos (CISA) havia emitido uma nota aos usuários sobre o risco da vulnerabilidade. No alerta sobre a falha de dia zero, a instituição informa:
“O Google lançou o Chrome versão 94.0.4606.61 para Windows, Mac e Linux. Essa versão adereça uma vulnerabilidade — CVE-2021-37973 — onde um atacante pode explorar para tomar controle de um sistema afetado. Uma exploração dessa falha está à solta.”
Ao longo deste ano, 68 tipos de ataques de dia-zero diferentes foram reportados por especialistas de segurança. Segundo análise do Security Week, 12 destes vieram de versões do Google Chrome ou na plataforma Android.
FONTE: OLHAR DIGITAL