O Chrome para desktops recebeu uma importante correção nesta semana. De início, não há nada de incomum nisso. Atualizações de segurança fazem parte do ciclo de vida de qualquer software. O que chama a atenção aqui é o fato de esta ser a quinta correção zero-day que o navegador já recebeu em 2024.
Zero-day, ou dia zero, é o nome dado a uma vulnerabilidade até então desconhecida pela organização responsável pelo software, mas que foi descoberta ou explorada por agentes externos. Os desenvolvedores ficam então com “zero dia” para resolver o problema. Daí o nome.
A falha mais recente no Chrome, identificada como CVE-2024-4671, foi descoberta e reportada ao Google por um pesquisador anônimo, que não fez uso malicioso do problema (até onde se sabe). A falha foi registrada na terça-feira (7) e corrigida pela companhia dois dias depois.
Apesar da reação rápida, o Google relatou que, provavelmente, a falha já vem sendo explorada por outros agentes. Para evitar que o problema piore, os detalhes sobre a vulnerabilidade deverão ser mantidos sob sigilo até a correção ser distribuída para um número amplo de usuários.
Por ora, sabe-se que o problema afeta o mecanismo de renderização e exibição de conteúdo do navegador.
Cinco falhas zero-day no ano
O BleepingComputer chama a atenção para o fato de esta ser a quinta correção zero-day que o Google libera para o Chrome somente neste ano. E olha que 2024 não está nem na metade. As demais são as seguintes:
- CVE-2024-0519: permite acesso a dados confidenciais por meio de uma falha no interpretador de JavaScript V8 do Chrome;
- CVE-2024-2887: possibilita execução remota de código malicioso explorando uma falha via WebAssembly (Wasm);
- CVE-2024-2886: também permite execução remota de código, mas por meio de uma vulnerabilidade na API WebCodecs;
- CVE-2024-3159: falha que também envolve o interpretador Chrome V8, permite captura de informações confidenciais a partir de páginas HTML com código malicioso.
Todas essas falhas de segurança são consideradas graves, mas já foram corrigidas. Com relação ao problema mais recente, o Google informa que a correção será liberada a partir das versões 124.0.6367.201/.202 para Windows e macOS, e 124.0.6367.201 para Linux.
Se você usa o Chrome para desktop, precisa apenas aguardar pela atualização automática do navegador.
Google corrige a quinta falha zero-day do Chrome em 2024