chrome
O Google corrigiu 28 vulnerabilidades lançando a atualização 100.0.4896.60 para o navegador Chrome. Pelo menos 9 delas são classificadas como de alta gravidade – adicionando ao CVE-2022-1096, outra vulnerabilidade de alta gravidade que o Google corrigiu com uma atualização separada há poucos dias. Portanto, no total, os desenvolvedores do Chrome lançaram patches para 10 vulnerabilidades de alto risco em menos de uma semana. Em outras palavras, se você não reiniciou seu computador por algum tempo ou não reiniciou seu navegador recentemente, então é hora de atualizar.
Vulnerabilidade CVE-2022-1096
Até agora, o Google não publicou detalhes sobre nenhuma das vulnerabilidades – de acordo com a política de segurança da empresa, o acesso a uma descrição detalhada dos bugs não é divulgada até que a maioria dos usuários ativos atualize seu navegador. Mas já está claro que é a vulnerabilidade CVE-2022-1096 (aquela que o Google resolveu com uma patch separada na sexta-feira, 25 de março, apenas quatro dias antes da grande atualização) que pode causar problemas reais.
A CVE-2022-1096 pertence à classe Type Confusion, ou seja, está ligada a algum erro no tratamento de tipos de dados no motor V8. A vulnerabilidade é bastante perigosa, a julgar pelo fato de que o Google abordou esse bug separadamente com uma patch de emergência. Além disso, de acordo com as notas de lançamento da correção, o Google estava ciente de que ela já estava sendo explorada em 25 de março. No dia seguinte, a Microsoft corrigiu a mesma vulnerabilidade em seu navegador Edge baseado em Chromium. Resumindo as informações disponíveis, é razoável supor que uma exploração para a vulnerabilidade não apenas existe, mas está sendo usada ativamente pelos invasores.
Outras 28 novas vulnerabilidades
Das 28 vulnerabilidades que a atualização mais recente aborda, a maioria (20) foi descoberta por pesquisadores independentes e as oito restantes por especialistas internos do Google. Das nove vulnerabilidades com alto nível de gravidade, quatro (CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133) pertencem à classe use-after-free; mais três (CVE-2022-1128, CVE-2022-1129, CVE-2022-1132) estão relacionadas a implementações inadequadas em vários componentes, outra (CVE-2022-1130) tem a ver com uma validação insuficiente de entrada não confiável em WebOTP e a restante (CVE-2022-1134), como o já mencionado na CVE-2022-1096, é um problema de Type Confusion no motor V8.
Mantenha-se Seguro
Primeiro, você precisa atualizar seu navegador para a versão mais recente — no momento da redação deste artigo, é 100.0.4896.60. Se sua versão do Chrome for mais antiga, isso significa que seu navegador não foi atualizado automaticamente e recomendamos atualizá-lo manualmente usando nossas instruções. Se você usa o Microsoft Edge, não se esqueça de atualizá-lo também – isso é feito da mesma maneira que no Google Chrome.
Também recomendamos que você acompanhe as notícias e atualize oportunamente os programas mais críticos, incluindo soluções de segurança, navegadores, suítes de escritório e o próprio sistema operacional.
Além disso, recomendamos o uso de soluções de segurança confiáveis que podem detectar e impedir automaticamente tentativas de explorar vulnerabilidades, para que você se mantenha protegido ataques mesmo antes do lançamento de patches oficiais.
Dicas