0
0
A Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA) pediu aos usuários e administradores que atualizassem para uma nova versão do Chrome que o Google lançou na semana passada para corrigir um total de sete vulnerabilidades em seu navegador.
Em um aviso, o Google descreveu quatro das falhas — três das quais foram relatadas à empresa por pesquisadores externos — como apresentando um alto risco para as organizações. A empresa disse que decidiu restringir o acesso aos detalhes do bug até que a maioria dos usuários tenha atualizado para a nova versão do Chrome (102.0.5005.115).
Uma das vulnerabilidades é o chamado uso após o problema livre na interface de programação do aplicativo WebGPU para funções como computação e renderização em uma unidade de processamento gráfico. O bug (CVE-2022-2007) pode ser explorado remotamente e pode ter um impacto na confidencialidade, integridade e disponibilidade dos sistemas afetados, de acordo com uma descrição da falha no banco de dados de vulnerabilidades VulDB. “Nenhuma forma de autenticação é necessária para exploração. Exige que a vítima esteja fazendo algum tipo de interação com o usuário”, observou o VulDB.
O Google concedeu US$ 10.000 ao pesquisador de segurança que relatou a falha à empresa em maio. A VulDB estimou que o preço de uma exploração para a falha estivesse entre US$ 5.000 e US$ 25.000 atualmente, embora isso possa subir em breve, observou.
A segunda falha é o uso de acesso à memória fora dos limites na API WebGL para renderizar gráficos 2D e 3D. Dois pesquisadores da empresa vietnamita VinCSS Internet Security Services relataram o bug (CVE-2022-2008) em abril. O VulDB descreveu a falha como sendo explorável remotamente, mas exigindo pelo menos alguma interação do usuário pela vítima. A falha parece ser facilmente explorável e não requer autenticação, disse o VulDB. O aviso do Google observou que a recompensa por divulgar a vulnerabilidade ainda não havia sido determinada.
A terceira vulnerabilidade de alta gravidade que a nova versão do Chrome aborda (CVE-2022-2010) é um problema de leitura fora do limite na composição ou na renderização de conteúdo da página da Web. Um pesquisador de segurança da própria equipe de busca por bugs do Projeto Zero do Google descobriu a vulnerabilidade em maio. Como as outras duas falhas, esta também afeta a confidencialidade, integridade e disponibilidade dos sistemas afetados, disse a VulDB.
A quarta vulnerabilidade de alta gravidade que o Google divulgou é um problema de uso após a livre que um pesquisador de segurança externo relatou à empresa em maio. A falha (CVE-2022-2011) existe no ANGLE, uma função que o Google descreve como um “motor de Camada Gráfica quase nativo” no Chrome. A vulnerabilidade de corrupção de memória tem um impacto quase idêntico ao dos outros três, com base na descrição do problema do VulDB.
CISA: Falhas permitem que os atacantes assumam o controle dos sistemas afetados
A CISA instou as organizações a revisar a nota de lançamento do Google no Chrome e aplicar a atualização para mitigar o risco. “O Google lançou a versão 102.0.5005.115 do Chrome para Windows, Mac e Linux. Esta versão aborda vulnerabilidades que um invasor poderia explorar para assumir o controle de um sistema afetado”, disse.
As sete falhas que o Google abordou com sua versão mais recente do Chrome são consideravelmente menores em número do que algumas outras divulgações recentes de bugs relacionadas ao Chrome da empresa. Uma atualização do Chrome que o Google lançou em 24 de maio incluiu correções para 32 falhas, uma das quais foi classificada como sendo de gravidade crítica, enquanto outras sete foram classificadas como altamente críticas. Outra atualização, também em maio, continha correções para 13 falhas, oito das quais a empresa classificou como sendo de alta gravidade.
FONTE: DARK READING