O Google alertou sobre uma vulnerabilidade de dia zero de alta gravidade no Chrome que está sendo ativamente explorada na natureza. A empresa está pedindo aos usuários do Windows que atualizem imediatamente o navegador para a versão 103.0.5060.114 para se protegerem de um possível ataque.
Rastreado como CVE-2022-2294, este é um bug no estouro de buffer baseado em heap no WebRTC (Web Real-Time Communications). De acordo com Computador apitandoquem primeiro relatado esta atualização para o Chrome, a exploração potencial desse bug pode variar de falhas no programa até a execução arbitrária de código. Se os anexos conseguirem a execução arbitrária de código, eles poderão contornar as soluções de segurança e lançar uma exploração mais devastadora.
Jan Vojtesek, da equipe Avast Threat Intelligence, relatou esse bug ao Google em 1º de julho. Sabendo que existe um exploit para a vulnerabilidade, a empresa imediatamente lançou um patch. A atualização deve chegar a todos os usuários globalmente em uma ou duas semanas. Enquanto isso, o Google está retendo informações sobre a vulnerabilidade e sua exploração para limitar possíveis ataques.
O Chrome geralmente instala uma atualização automaticamente após o relançamento do aplicativo. Portanto, se a atualização chegou até você, talvez você já esteja executando a versão mais recente. Para ter certeza absoluta, clique no menu de três pontos no canto superior direito da tela da área de trabalho e selecione Configurações. Agora clique em Sobre o Chrome na parte inferior. Se você estiver executando a versão 103.0.5060.114, você está seguro. Caso contrário, verifique se há uma atualização.
De acordo com o Google, a última atualização do Chrome no canal Stable Desktop também inclui mais três correções de segurança. Pesquisadores externos contribuíram para dois deles – CVE-2022-2296 e CVE-2022-2295 – relatados em maio e junho, respectivamente. Essas também são vulnerabilidades de alta gravidade, mas não há explorações conhecidas na natureza.
Esta é a quarta vulnerabilidade de dia zero no Google Chrome este ano
Se você não estiver familiarizado, uma vulnerabilidade de dia zero é uma vulnerabilidade de software que já possui uma exploração em estado selvagem antes que o fornecedor do software tenha conhecimento dela ou libere uma correção. Esta é a quarta vulnerabilidade descoberta no Chrome até agora em 2022. O Google corrigiu uma vulnerabilidade em fevereiro, março e abril. Considerando os possíveis riscos de segurança, é aconselhável verificar regularmente as atualizações do Chrome e instalar novas versões imediatamente.
No tópico de vulnerabilidades de dia zero, a equipe do Project Zero do Google detectou 58 dessas vulnerabilidades em vários produtos e serviços em 2021. Esse é o número anual mais alto até agora e mais que o dobro de 2020, quando a empresa descobriu 25 vulnerabilidades de dia zero.