O Google acaba de lançar uma ampla atualização do Chrome corrigindo sete vulnerabilidades, um dos quais um dia zero.
O dia zero é rastreado como CVE-2021-21224, e exploits para ele existem na natureza. Você deve verificar se está executando a versão mais recente do Google Chrome.
“O canal Stable foi atualizado para 90.0.4430.85 para Windows, Mac e Linux que serão lançados nos próximos dias / semanas,”A empresa disse em um post de blog.
Mais sobre CVE-2021-21224 Zero-Day
De acordo com o pesquisador de segurança Lei Cao, a vulnerabilidade é acionada pela execução de conversão de tipo de dados inteiros. Isso cria uma condição fora dos limites que pode causar primitivo de leitura / gravação de memória arbitrária.
“O Google está ciente de relatos de que existem explorações para CVE-2021-21224 à solta,”A empresa acrescentou. Um código de prova de conceito para a vulnerabilidade foi lançado em meados de abril por um pesquisador conhecido como frust, seguindo uma correção no código-fonte V8. O patch não foi adicionado à base de código do Chromium, tornando os navegadores baseados em Chromium Chrome, Beira, Vivaldi, Ópera, e bravo vulnerável.
Essas atualizações vêm logo após o Google lançar patches para duas outras vulnerabilidades, CVE-2021-21206 e CVE-2021-21220. A segunda vulnerabilidade foi demonstrado durante Pwn2Own 2021 no início deste mês pelos pesquisadores da Dataflow Security Bruno Keith e Niklas Baumstark. Os dois pesquisadores ganharam $100,000 do concurso de hacking para explorar com sucesso a vulnerabilidade para executar código malicioso nos navegadores Chrome e Edge.