Nota: O seguinte artigo irá ajudá-lo com: O novo dia zero do Chrome está sob ataque –– o que fazer?
ATENÇÃO! Se você estiver usando o navegador Google Chrome em seu desktop ou laptop (Windows, Mac ou Linux), talvez seja necessário atualizar seu navegador para a versão mais recente do software imediatamente.
Por que a urgência?
Para informação de todos, o Google acaba de lançar a versão 86.0.4240.111 do Chrome hoje. As atualizações de versão são principalmente para melhorias na segurança e outros recursos e esta não é diferente.
Infelizmente, há uma vulnerabilidade de dia zero do Chrome que os invasores estão explorando para sequestrar computadores direcionados. E esta versão mais recente do Chrome é corrigir esse problema de segurança de alto nível.
Leia: Os dispositivos Pixel 5 estão começando a mostrar alguns problemas sérios – uma lacuna entre a tela e o quadro
Ataque de alta gravidade
A falha FreeType, listada como CVE-2020-15999, é um tipo de falha de corrupção de memória que é uma biblioteca de desenvolvimento de software de código aberto, popular na renderização de fontes empacotadas com o Chrome. A falha foi fortemente explorada e, mais importante, classificada como “alta” gravidade.
Inicialmente, a vulnerabilidade foi descoberta pelo pesquisador de segurança do Project Zero do Google, Sergei Glazunov, em 19 de outubro. Ele então relatou isso imediatamente aos desenvolvedores do FreeType.
Felizmente, em 20 de outubro, um dia após o problema ter sido relatado, os desenvolvedores do FreeType lançaram o FreeType 2.10.4 –– um patch de emergência para resolver o problema.
O líder técnico do Project Zero do Google, Ben Hawkes, alertou no Twitter que, embora a equipe tenha detectado apenas um exploit direcionado aos usuários do Chrome, também é possível que outros projetos usando FreeType também sejam vulneráveis ao ataque. O Google pediu aos desenvolvedores do FreeType que incluíssem outros projetos em sua correção também.
Ainda não há detalhes sobre quem está explorando ativamente essa falha. Mas espera-se que o Google publique detalhes técnicos em 26 de outubro.
“Embora tenhamos visto apenas uma exploração para o Chrome, outros usuários do Freetype devem adotar a correção discutida aqui: https://savannah.nongnu.org/bugs/?59308 — a correção também está na versão estável de hoje do FreeType 2.10.4, ” Hawkes twittou.
De acordo com Glazunov, a vulnerabilidade existe na função “Load_SBit_Png” do FreeType que processa imagens PNG embutidas em fontes. Os invasores podem explorar isso para executar código arbitrário por meio do uso de fontes especificamente criadas com imagens PNG incorporadas.
“O problema é que libpng usa os valores originais de 32 bits, que são salvos em png_struct. Portanto, se a largura e/ou altura original for maior que 65535, o buffer alocado não poderá caber no bitmap”, afirmou Glazunov.
Google aconselhou usuários a atualizarem o Chrome imediatamente
A gigante da tecnologia está muito ciente do ataque ativo. E como resposta ao ataque, o Google também lançou o Chrome 86.0.4240.111, uma versão estável que está disponível para todos os usuários.
Além da vulnerabilidade de dia zero do FreeType, o Google também corrigiu outras quatro falhas na atualização mais recente do Chrome. Três dessas quatro falhas são classificadas como vulnerabilidades de alto risco. Primeiro, um bug de implementação inadequado no Blink. Segundo, um bug gratuito na mídia do Chrome. O terceiro é um bug gratuito no PDFium.
E o último é um uso de médio risco após emissão gratuita na função de impressão do navegador.
Os usuários do navegador Chrome são notificados sobre a versão mais recente disponível. No entanto, se eles não receberam a notificação, eles podem atualizar manualmente seus navegadores para a versão mais recente.
Clique nos três pontos no canto superior direito do navegador, selecione Ajuda e clique em Sobre o Google Chrome. Uma nova guia será aberta e iniciará a atualização – se estiver disponível. Depois disso, seu navegador será reiniciado; e você é atualizado para a versão mais recente.
