Informagno | Gestão em TI

Três vulnerabilidades no Google Chrome

O Google lançou uma atualização de emergência para o navegador Chrome que engloba três vulnerabilidades: CVE-2021-37974CVE-2021-37975, e CVE-2021-37976. Os especialistas da empresa consideram uma das vulnerabilidades crítica e as outras duas altamente perigosas.

O que é pior: de acordo com o Google, os cibercriminosos já exploraram duas dessas três falhas. Portanto, a empresa aconselha todos os usuários do Chrome a atualizarem imediatamente o navegador para a versão 94.0.4606.71. Essas vulnerabilidades também são relevantes para outros navegadores baseados no mecanismo Chromium – por exemplo, a Microsoft recomenda atualizar o Edge para a versão 94.0.992.

Por que essas vulnerabilidades no Google Chrome são perigosas

A CVE-2021-37974 e a CVE-2021-37975 são vulnerabilidades de classe use-after-free (UAF) – elas exploram o uso incorreto de memória heap e, como resultado, podem levar à execução arbitrária de código no computador de destino.

A primeira, a CVE-2021-37974, está relacionada ao componente Navegação segura, um subsistema do Google Chrome que alerta os usuários sobre sites e downloads não seguros. A classificação de gravidade CVSS v3.1 para esta vulnerabilidade é de 7,7 em 10.

A segunda vulnerabilidade, a CVE-2021-37975, foi encontrada no V8 JavaScript do Crome. Ela é considerada a mais perigosa de todos os três – 8,4 na escala CVSS v3.1, o que a torna uma vulnerabilidade de risco “crítica”. Golpistas já estão usando essa vulnerabilidade em seus ataques aos usuários do Chrome.

A causa da terceira vulnerabilidade, a CVE-2021-37976, é a superexposição de dados causada pelo núcleo do Google Chrome. É um pouco menos perigosa – 7,2 na escala CVSS v3.1, no entanto, também já está sendo usada por cibercriminosos.

Como os cibercriminosos podem explorar essas vulnerabilidades

A exploração de todas as três vulnerabilidades requer a criação de uma página da web maliciosa. Tudo o que os invasores precisam é criar um site com uma exploração incorporada e uma maneira de atrair as vítimas para ela. Como resultado, as explorações de duas vulnerabilidades de uso após a liberação permitem que os invasores executem códigos arbitrários nos computadores de usuários do Chrome, que não fizeram a atualização, e que acessaram a página. Isso pode levar ao comprometimento de seu sistema. Um exploit para a terceira vulnerabilidade, CVE-2021-37976, permite que os atacantes obtenham acesso às informações confidenciais da vítima.

O Google provavelmente revelará mais detalhes sobre as vulnerabilidades depois que a maioria dos usuários atualizar seus navegadores. Em qualquer caso, não vale a pena atrasar a atualização – muito melhor fazê-la o mais rápido possível.

Como se manter seguro

A primeira etapa para todos é atualizar os navegadores em todos os dispositivos que têm acesso à Internet. Muitas vezes, a atualização é instalada automaticamente quando o navegador é reiniciado, no entanto, muitos usuários não reiniciam o computador por um longo tempo, então o browser pode permanecer vulnerável por vários dias ou até semanas. Em qualquer caso, recomendamos verificar a versão do Chrome. Veja como fazer isso: clique no botão Personalizar e controlar o Google Chrome no canto superior direito da janela do navegador e escolha Ajuda -> Sobre o Google Chrome . Se a versão do seu navegador não for a mais recente disponível, o Chrome iniciará automaticamente a atualização.

Para proteção extra, recomendamos que os usuários instalem soluções de segurança em todos os dispositivos com acesso à Internet. Dessa forma, mesmo que você seja pego sem um navegador atualizado, as tecnologias de proteção proativa irão minimizar a possibilidade de exploração bem-sucedida da vulnerabilidade.

Também recomendamos que os funcionários dos departamentos de segurança da informação corporativa usem as soluções de segurança em todos os dispositivos, monitorem as atualizações de segurança e empreguem a entrega automática de atualizações e o sistema de controle. Também seria razoável priorizar a instalação de atualizações do navegador.

Fonte: Kaspersky