Nova vulnerabilidade Zero-Day encontrada no Google Chrome
No mês passado, o pesquisador Clement Lecigne, encarregado de detectar as novas ameaças ao Google, descobriu e relatou uma vulnerabilidade particularmente perigosa que poderia, aparentemente, permitir que invasores executem ataques cibernéticos remotamente executando, de forma totalmente arbitrária, o código e, consequentemente, assumindo o controle total do sistema.
A vulnerabilidade descoberta no Google Chrome: o que é e como funciona
A vulnerabilidade em questão, que recebeu seu nome CVE-2019-5786, visa o navegador popular em todos os principais sistemas operacionais, incluindo Microsoft Windows, Apple macOS e Linux. Aparentemente, isso seria um tipo de vulnerabilidade usar depois de livre presente no componente FileReader do Chrome, mas há mais: o próprio Google avisou que a vulnerabilidade RCE de dia zero já estaria em uso ativo por alguns invasores que visam diretamente a usuários individuais.
"O acesso aos detalhes e vários links do bug será restrito até que a maioria dos usuários tenha atualizado o navegador com as correções necessárias", observa a equipe de segurança do Chrome, "adotaremos outras restrições na biblioteca de terceiros na qual eles dependem. projetos semelhantes que ainda não foram corrigidos. "
Por exemplo, FileReader é uma API padrão feita especialmente para permitir que aplicativos da web leiam o conteúdo de arquivos (ou dados brutos) armazenados no computador do usuário, usando 'Arquivo' ou 'Blob' para especificar os arquivos ou dados a serem lidos.
O tipo de vulnerabilidade usar depois de livre pertence a uma classe de erro Corrupção que permite que pessoas mal intencionadas modifiquem os dados na memória, bem como tenham acesso ao sistema, se não mesmo ao software, de forma progressiva.
A vulnerabilidade de uso após livre presente no componente FileReader O Google Chrome, de fato, concede aos cibercriminosos acesso privilegiado ao Chrome, permitindo que eles contornem os sistemas de segurança e alcancem o sistema diretamente.
Tudo o que um hacker precisa fazer para explorar essa vulnerabilidade específica do Google Chrome é enganar as vítimas sem saber, solicitando que abram ou redirecionando para um site que não requeira nenhum tipo de interação.
Vulnerabilidade do Chrome: o Google já tem a solução
É, portanto, uma vulnerabilidade insidiosa, que pode afetar qualquer sistema operacional. No entanto, o Google não está de olho, por isso já lançou o patch para oferecer aos seus usuários, com a atualização do Chrome 72.0.3626.121 para Windows, Mac e Linux: deve chegar nos próximos dias, mas alguns já o fizeram .
Andrea Mori
Swascan Gerente de Marketing
Nova vulnerabilidade Zero-Day encontrada no Google Chrome
