Novo bug do Chrome 0-day sob ataques ativos

120

Exatamente um mês depois de corrigir uma falha de dia zero ativamente explorada no Chrome, o Google lançou hoje correções para outra vulnerabilidade de dia zero no navegador da web mais popular do mundo que diz estar sendo abusado.

O Chrome 89.0.4389.72, lançado pela gigante das buscas para Windows, Mac e Linux na terça-feira, vem com um total de 47 correções de segurança, a mais grave das quais diz respeito a um “problema de ciclo de vida do objeto em áudio”.

Rastreada como CVE-2021-21166, a falha de segurança é um dos dois bugs de segurança relatados no mês passado por Alison Huffman da pesquisa de vulnerabilidade do navegador da Microsoft em 11 de fevereiro. Uma falha separada do ciclo de vida do objeto, também identificada no componente de áudio, foi relatada ao Google em 4 de fevereiro, mesmo dia em que a versão estável do Chrome 88 foi disponibilizada.

Sem detalhes adicionais, não fica imediatamente claro se as duas falhas de segurança estão relacionadas.

O Google reconheceu que existe um exploit para a vulnerabilidade, mas não chegou a compartilhar mais detalhes para permitir que a maioria dos usuários instalem as correções e evitar que outros agentes de ameaças criem exploits visando este dia zero.

“Google está ciente de relatos de que um exploit CVE-2021-21166 existe na natureza,” Programa Chrome Gerente Técnico Prudhvikumar Bommana disse .

Esta é a segunda falha de dia zero tratada pelo Google no Chrome desde o início do ano.

Em 4 de fevereiro, a empresa lançou uma correção para uma falha de estouro de buffer de heap explorada ativamente (CVE-2021-21148) em seu mecanismo de renderização V8 JavaScript.

Além disso, o Google no ano passado resolveu cinco dias zero do Chrome que foram ativamente explorados em um período de um mês entre 20 de outubro e 12 de novembro.

Os usuários do Chrome podem atualizar para o Chrome 89 acessando Configurações> Ajuda> Sobre o Google Chrome para reduzir o risco associado à falha.