As explorações de dia zero estão no topo dos riscos de segurança online, pois expõem os dados de milhões de usuários online e são ativamente exploradas em ataques cibernéticos. O Google recentemente corrigiu sua 7ª exploração de dia zero no Google Chrome e está pedindo a seus usuários que atualizem seus navegadores imediatamente.
A vulnerabilidade, identificada como CVE-2022-3723, envolve uma coleção de bibliotecas de back-end chamada Mojo. Todo navegador baseado em Chromium usa essas bibliotecas, incluindo Opera, Brave e Microsoft Edge. O Google agiu rapidamente para resolver essa vulnerabilidade crítica do Google Chrome, emitindo uma atualização de emergência em até 48 horas após o relatório. A atualização que corrige esse problema está sendo lançada no Google Chrome versão 105.0.5195.102. O Google está retendo as informações exatas sobre a correção de segurança até que a maioria dos usuários atualize seus navegadores para a versão mais recente.
O que é uma exploração de dia zero?
Uma exploração de dia zero é um ataque cibernético que visa uma vulnerabilidade de software desconhecida por um fornecedor de software como o Google. Os invasores identificam uma vulnerabilidade de software e criam uma exploração para usá-la em um ataque. Os ataques provavelmente serão bem-sucedidos porque as defesas não estão em vigor. Isso torna os ataques de dia zero uma grave ameaça à segurança. Os alvos mais comuns desses ataques são navegadores da Web como o Chrome.
O que é CVE-2022-3723?
Um pesquisador de segurança anônimo enviou essa vulnerabilidade ao Google. Os pesquisadores de segurança da Avast confirmaram mais tarde o relatório em 25 de outubro. CVE-2022-3723 é um problema de ‘confusão de tipos’ com o mecanismo JavaScript V8 do Chrome.
Essa categoria de vulnerabilidade representa um alto risco para os dados do usuário, pois os hackers podem usar o erro de ‘confusão de tipo’ para confundir o sistema e retornar um erro de acesso à memória fora dos limites. Assim, permitindo que programas suspeitos acessem partes da memória do dispositivo que não seriam possíveis antes. O que poderia levá-los a obter o controle do sistema dos usuários e passar por dados confidenciais de aplicativos.
Esta foi a sétima vulnerabilidade de dia zero descoberta e corrigida este ano, conforme relatado por Computador apitando. O último patch anunciado veio em julho. O exploit CVE-2022-2294 estava sendo usado para espionar jornalistas ao redor do mundo.
Como atualizar o Chrome
Para enfrentar a exploração de dia zero, o Google está nos pedindo para atualizar o Chrome imediatamente. A atualização do Chrome no Mac ou Windows é a mesma. Em seus desktops, os usuários podem atualizar o Chrome indo para Configurações, depois Sobre o Google Chrome e instalando a atualização mais recente.
No Android, os usuários podem acessar a Google Play Store, acessar Gerenciar aplicativos e dispositivos e verificar se há atualizações para o Google Chrome. Da mesma forma, no iOS, os usuários podem abrir a App Store, tocar em seu perfil, rolar para baixo até “Atualizações disponíveis” e pesquisar pelo Google Chrome.