0
0
Uma vulnerabilidade de segurança de dia zero no Google Chrome para Android está sendo ativamente explorada na natureza, diz a gigante da Internet.
O problema é um bug de estouro de buffer de pilha de alta gravidade (rastreado como CVE-2022-2294) no WebRTC. WebRTC é uma especificação HTML5 que permite que as páginas da web reproduzam conteúdo de áudio e vídeo em tempo real dentro do navegador.
“O Google está ciente de que uma exploração para o CVE-2022-2294 existe na natureza”, disse a empresa em sua assessoria sobre o assunto.
Como de costume, o Google está mantendo os detalhes técnicos da vulnerabilidade próximos do colete até que a maioria dos usuários atualize seus navegadores, mas os transbordamentos de buffer em geral são problemas de memória que podem levar a uma série de resultados ruins se explorados. Os possíveis resultados incluem falha do dispositivo, negação de serviço (DoS), execução remota de código (RCE) e desvios de serviço de segurança.
Patrick Tiquet, vice-presidente de segurança e arquitetura da Keeper Security, se aprofundou no problema e diz que o bug realmente permite o RCE.
“O CVE-2022-2294 é uma vulnerabilidade séria que pode levar à execução arbitrária de código remoto simplesmente visitando um site malicioso”, diz ele. “Isso pode permitir que um invasor execute uma variedade de ações em um sistema de destino, como instalar malware ou roubar informações. Os usuários do Windows e Android Chrome devem garantir que instalem as atualizações mais recentes para se proteger.”
Para resolver a falha, o Google lançou o Chrome 103 (103.0.5060.71) para Android na segunda-feira – ele disse que a atualização seria lançada no Google Play “nos próximos dias”.
A atualização também corrige dois outros bugs de segurança: um é um bug de confusão de tipo de alta gravidade (CVE-2022-2295) no mecanismo JavaScript de código aberto V8 do Google, que ganhou uma recompensa de bug de US$ 7.500 para repórteres avaue e Buff3tts na S.S.L.; e o outro é uma correção não especificada que foi descoberta Problemas de confusão de tipo também podem levar à execução de código, falhas e esforços lógicos.
Tiquet acrescenta: “Os navegadores da Web são aplicativos essenciais que quase todos os serviços baseados em nuvem têm em comum e, portanto, são alvos de alta prioridade – o compromisso de um navegador da web pode ser aproveitado para comprometer qualquer serviço baseado em nuvem acessado por esse navegador.”
Quarto Bug de Dia Zero do Chrome Explorado em 2022
A falha do WebRTC é o quarto dia zero no Chrome até agora este ano. Notavelmente, em abril, o Google divulgou uma vulnerabilidade de confusão de tipo que já está sendo explorada em estado selvagem (CVE-2022-1364), que afeta o mecanismo JavaScript e WebAssembly no navegador.
Outro problema de confusão de tipo no V8 (CVE-2022-1096) foi corrigido em março; e o terceiro foi corrigido em fevereiro (CVE-2022-0609), depois de ter sido explorado por uma ameaça persistente avançada do estado apoiada pela Coreia do Norte, de acordo com o Google Threat Analysis Group (TAG).
“Com tantos aplicativos de negócios e de nuvem, dependendo de uma interface web, as vulnerabilidades do navegador podem ser problemáticas”, diz Mike Parkin, engenheiro técnico sênior da Vulcan Cyber. “Especialmente um tão amplamente utilizado quanto o Chrome. É ainda pior quando há explorações conhecidas na natureza que alavancam a vulnerabilidade. Felizmente, o Google já desenvolveu patches para essa vulnerabilidade em plataformas desktop e móveis e os lançará rapidamente.”
FONTE: DARK READING