O Google corrigiu duas falhas de dia zero em seu navegador Chrome que já estavam sendo exploradas ativamente.
O esquadrão de hackers de chapéu branco Project Zero do Google corrigiu duas novas correções de bugs de dia zero para vulnerabilidades no navegador Chrome, já sendo exploradas ativamente em estado selvagem – pela terceira vez em duas semanas a equipe teve que corrigir uma vulnerabilidade ativa no navegador mais usado do mundo.
Ben Hawkes, chefe do Projeto Zero, acessou o Twitter na segunda-feira para fazer o anúncio (via ArsTechnica):
O primeiro, codinome CVE-2020-16009, é um bug de execução remota de código no V8, o mecanismo Javascript personalizado usado no Chromium. O segundo, codificado CVE-2020-16010, é um buffer overflow baseado em heap, específico para a versão Android do Chrome, que permite que usuários externos o ambiente sandbox, deixando-os livres para explorar códigos maliciosos, talvez de outra exploração, ou talvez de uma exploração completamente diferente um.
Há muita coisa que não sabemos – o Project Zero geralmente usa uma base de “necessidade de saber”, para que não se transforme em um tutorial de “como hackear” – mas podemos coletar algumas informações. Não sabemos, por exemplo, quem é o responsável pela exploração das falhas, mas dado que o primeiro (16009) foi descoberto pelo Grupo de Análise de Ameaças, o que pode muito bem significar que é um programa patrocinado pelo estado. ator. Não sabemos quais versões do Chrome estão sendo direcionadas, por isso recomendamos que você assuma o a resposta é “aquela que você possui” e atualize sempre que possível se você não tiver a versão mais recente automaticamente. O patch do Android está na versão mais recente do Chrome, atualmente disponível na Google Play Store – pode ser necessário acionar uma atualização manual para ter certeza de recebê-la em tempo hábil.