O Google lançou outra atualização crítica de segurança para o navegador Chrome, cobrindo seis vulnerabilidades, quatro das quais foram descobertas por desenvolvedores terceirizados. Entre os problemas mais perigosos estão a confusão de tipos (CVE-2024-5158) e o uso após liberação (CVE-2024-5157), que podem levar ao vazamento de dados e à introdução de malware.
Fonte da imagem: Pixabay
A vulnerabilidade use-after-free é uma vulnerabilidade de corrupção de memória que pode ser usada por invasores para instalar aplicativos maliciosos. A segunda vulnerabilidade perigosa, confusão de tipo, foi descoberta repetidamente em navegadores baseados em Chromium e no mecanismo Javascript V8. Os hackers conseguem tirar proveito do bug de confusão de tipos ativando-o em uma página HTML maliciosa especial, conforme relatado anteriormente pela empresa de segurança cibernética SocRadar.
O bug de estouro da área de transferência CVE-2024-5159 foi encontrado no mecanismo gráfico Chrome Angle. E o bug CVE-2024-5160 foi descoberto no Dawn, que é o padrão aberto do Google para a API WebGPU.
Essas quatro vulnerabilidades tornaram-se conhecidas nas últimas cinco semanas. As correções serão entregues aos usuários de Windows e Mac nas versões 125.0.6422.76/.77 do Chrome e para Linux na versão 125.0.6422.76. Segundo o Google, essas atualizações estarão disponíveis para download nos próximos dias ou semanas. Até o momento, a empresa concedeu, como sempre, prêmios em dinheiro totalizando US$ 26.000 a três desenvolvedores que encontraram essas e outras vulnerabilidades.
Observe que no início deste mês, o Google já lançou uma atualização de emergência para o Chrome para eliminar a vulnerabilidade crítica CVE-2024-4671, que também era um erro de uso após liberação que poderia ser usado para instalar malware no computador de um usuário.