PSA: Nas últimas semanas, o Google tem estado ocupado corrigindo várias falhas de segurança exploradas ativamente em seu navegador Chrome. O último usa uma falha no motor V8 JavaScript da versão para desktop para executar ataques RCE. Um bug separado na construção do Android permite um escape da sandbox.
Pesquisadores do Threat Analysis Group (TAG) do Google e do Project Zero descobriram um exploit de dia zero (CVE-2020-16009) na semana passada. Na segunda-feira, o Google lançou o patch 86.0.4240.183 do Chrome para Windows, macOS e Linux que trata do problema.
As notas do patch não divulgam detalhes sobre a falha de segurança, a não ser dizendo que tem a ver com uma “implementação inadequada” no mecanismo de renderização V8 JavaScript. Ele também menciona que a fraqueza já está sendo ativamente explorada.
“O Google está ciente de relatos de que existe um exploit para CVE-2020-16009”, afirmam as notas do patch.
Algumas pessoas notaram que o CVE-2020-16010 não foi incluído no link acima. Isso porque o Chrome tem notas de versão separadas para Desktop e Android. As notas de versão cobrindo CVE-2020-16010 (escape sandbox para Chrome no Android) agora estão disponíveis aqui: https://t.co/6hBKMuCAaK
– Ben Hawkes (@benhawkes) 3 de novembro de 2020
Ben Hawkes, líder técnico do Google Project Zero, tweetou que a falha permite que os invasores realizem ataques RCE (execução remota de código). Hawkes também mencionado uma atualização crítica para a versão Android do Chrome que corrige um “escape sandbox” em telefones Android (CVE-2020-16010).
Essas duas falhas de dia zero vêm logo após duas outras que o Google corrigiu recentemente.
O Hacker News relatou que CVE-2020-15999 – um estouro de buffer de heap no pacote de renderização de fontes Freetype – estava sendo explorado ativamente apenas duas semanas atrás. Outra vulnerabilidade (CVE-2020-17087) encontrada na semana passada causou um estouro de buffer no driver de criptografia do kernel do Windows que criou um escape de sandbox. Ele também estava sendo explorado ativamente.
A atualização 86.0.4240.183 também inclui vários outros patches de segurança de alta prioridade. O Google recomenda atualizar as versões para desktop e Android do Chrome imediatamente.