O Google está preparando uma nova atualização para o Chrome 89 após outra exploração que aproveita uma vulnerabilidade em seu JavaScript de código aberto e o mecanismo de montagem da web V8 foi descoberto à solta.
No total, a nova atualização aborda duas vulnerabilidades que afetam o V8 e o mecanismo de renderização do Chrome Blink. Em janeiro, descobriu-se que o V8 sofria de um bug de corrupção de memória de estouro de buffer de heap de alta gravidade. Agora, porém, uma nova vulnerabilidade V8 (rastreada como CVE-2021-21220) está sendo tratada juntamente com um bug use-after-free no Blink (rastreado como CVE-2021-21206).
A vulnerabilidade Blink foi descoberta por Bruno Keith e Niklas Baumstark da Dataflow Security durante a recente competição Pwn2Own da Zero Day Initiative.
Embora eles não tenham lançado nenhum código de prova de conceito (PoC), o pesquisador de segurança Rajvardhan Agarwal desenvolveu um exploit para a vulnerabilidade e recentemente postou no Twitter.
Atualização do Chrome
Em um novo post no blog Chrome Releases, o Google explicou que explorações para a vulnerabilidade Blink e a vulnerabilidade V8 “existem em liberdade”.
Embora o canal Stable do Chrome tenha sido atualizado para as versões Windows, Mac e Linux do navegador e a versão 89.0.4389.128 deva ser lançada nos próximos dias / semanas, os cibercriminosos ainda podem tentar aproveitar essas vulnerabilidades em seus ataques.
Isso ocorre porque os cibercriminosos com habilidades de codificação avançadas geralmente tentam fazer a engenharia reversa dos patches para descobrir contra o que eles protegem, o que lhes permite direcionar as implantações não corrigidas.
Os usuários do Google Chrome devem atualizar seus navegadores para a versão mais recente assim que estiver disponível como a melhor medida de segurança. E não apenas o chrome, mas todos os aplicativos devem estar sempre atualizados para evitar este tipo de perigo.
Dessa maneira, todo mundo se protege de quaisquer explorações potenciais que aproveitem essas vulnerabilidades.