O Chrome vaza novamente: o Google corrige a segunda vulnerabilidade de dia zero em duas semanas

Na noite passada, o Google forneceu uma nova versão corrigida do navegador Chrome para download. A nova versão 86.0.4240.183 corrige dez bugs de segurança, incluindo uma vulnerabilidade de dia zero ativamente explorada por hackers. Curiosamente, esta já é a segunda vulnerabilidade de dia zero em duas semanas, que teve que ser corrigida rapidamente. É hora de aumentar as taxas para hackers “brancos”?

Uma nova vulnerabilidade de dia zero, indexada CVE-2020-16009, foi descoberta pelo Google Threat Analysis Group (TAG). Como de costume, para os casos em que vulnerabilidades de dia zero são descobertas, detalhes sobre como a vulnerabilidade funciona e quem a explora não são divulgados para que os usuários tenham tempo de atualizar seu navegador para uma versão protegida. Resumidamente, os pesquisadores explicam que a vulnerabilidade foi encontrada no componente Chrome V8 que processa o código JavaScript.

Cerca de duas semanas atrás, o Google também atualizou com urgência o Chrome devido a uma vulnerabilidade de dia zero encontrada na biblioteca de renderização de fontes FreeType (CVE-2020-15999). Além disso, descobriu-se que a vulnerabilidade FreeType é fortemente explorada por hackers em combinação com a vulnerabilidade de dia zero do Windows (CVE-2020-17087). A vulnerabilidade no Windows permite que o código malicioso seja escalado por meio da vulnerabilidade FreeType para executar no navegador Chrome e atacar o sistema. As correções da Microsoft são esperadas em 10 de novembro em uma atualização de segurança planejada. O navegador Chrome corrigido é sugerido para ser baixado independente e imediatamente.