Google Chrome corrige a décima falha zero-day de 2024

Recentemente, a Google lançou uma nova atualização de emergência para o Chrome, corrigindo a décima vulnerabilidade zero-day explorada em ataques este ano. A falha, identificada como CVE-2024-7965, afeta a engine V8 do JavaScript, base para a execução de código no navegador, sendo corrigida na versão 128.0.6613.84 para Linux, Windows e macOS. Essa vulnerabilidade, relatada pelo pesquisador TheDog, ocorre devido a um erro na implementação do compilador JIT (Just-In-Time), que pode ser explorado por atacantes remotos para corromper a memória e executar código arbitrário em dispositivos vulneráveis.

Seu Google Chrome está atualizado?

Durante 2024, o Chrome enfrentou diversas vulnerabilidades críticas, todas corrigidas pelo Google em tempo recorde. Com o avanço tecnológico, a descoberta de novas vulnerabilidades faz rotineira a manutenção da segurança dos navegadores. Conheça as outras vulnerabilidades zero-day descobertas neste ano, conforme relatado pelo portal Bleeping Computer:

1. CVE-2024-0519: foi a primeira vulnerabilidade zero-day corrigida em 2024. Essa falha de acesso de memória fora dos limites na engine V8 permitia a corrupção e acesso a informações sensíveis;
2. CVE-2024-2887: fescoberta em sequência, essa vulnerabilidade foi uma confusão de tipos no padrão WebAssembly (Wasm), explorada para execução remota de código por meio de páginas HTML maliciosas;
3. CVE-2024-2886: logo depois, foi detectada uma falha de uso após liberação na API WebCodecs, que foi explorada por atacantes para realizar leituras e escritas arbitrárias, levando à execução remota de código, uma vulnerabilidade crítica que afeta diretamente como áudio e vídeo são manipulados no navegador;
4. CVE-2024-3159: a quarta vulnerabilidade zero-day corrigida no ano foi causada por uma leitura fora dos limites na engine V8, permitindo o acesso a dados além do buffer alocado e resultando, mais uma vez, em corrupção de memória e acesso a informações sensíveis;
5. CVE-2024-4671: eutra vulnerabilidade séria corrigida foi uma falha de uso após liberação no componente Visuals, responsável pela renderização e exibição de conteúdo no navegador;
6. CVE-2024-4761: outro problema de escrita fora dos limites na engine V8. Esse tipo de falha pode ser particularmente explorado para comprometer a execução de código JavaScript, uma das linguagens mais utilizadas em sites modernos;
7. CVE-2024-4947: esta vulnerabilidade de confusão de tipos na engine V8 foi outra falha crítica, potencialmente permitindo a execução arbitrária de código no dispositivo alvo;
8. CVE-2024-5274: similar a outras de confusão de tipos na engine V8;
9. CVE-2024-7971: Finalmente, relatada por pesquisadores da Microsoft, essa falha de confusão de tipos na engine V8, assim como outras no ano, foi explorada em ataques. Ela foi corrigida na mesma atualização que a CVE-2024-7965.

Cada uma dessas vulnerabilidades mostra como navegadores de internet devem sempre se manter trabalhando no aprimoramento da segurança. Na ponta do usuário, para se proteger, é importante manter o navegador sempre atualizado, aplicando as correções assim que forem disponibilizadas.

Para acompanhar as principais notícias semanais sobre tecnologia e open source, assine nossa newsletter!