Com a versão 95.0.4638.69 que o Google lançou no fim de outubro para o Chrome, um total de 8 falhas de segurança foram corrigidas, incluindo sete vulnerabilidades classificadas como de alta gravidade, incluindo duas do dia zero: CVE-2021-38000 e CVE-2021-38003. Conforme confirmado pelo Chrome, eles estão cientes da existência de explorações usadas por cibercriminosos para tirar proveito dessas vulnerabilidades. Nesse sentido, a ESET recomenda manter os sistemas atualizados com a versão mais recente para mantê-los protegidos.
Zero-day, refere-se a uma vulnerabilidade que foi descoberta recentemente em um sistema ou protocolo; é identificada pela primeira vez; e para a qual ainda não há patch de segurança para corrigir o problema. Esses tipos de falhas podem ser explorados por invasores para espalhar outras ameaças cibernéticas, como cavalos de Tróia, rootkits, vírus e worms.
Embora a nova versão do navegador já tenha sido lançada mundialmente, pode demorar um pouco para estar disponível para todos os usuários. Para atualizar o Chrome, os usuários devem ir ao menu clicando nos três pontos no canto superior direito do navegador, selecionar Ajuda e, em terceiro lugar, escolher a opção Sobre o Google Chrome. Feito isso, o navegador procurará por atualizações disponíveis e as instalará.
No caso do zero-day, o Google não deu muitos detalhes sobre as vulnerabilidades. O que se sabe é que o CVE-2021-38000 é um bug de alta gravidade relacionado à validação insuficiente para entradas não confiáveis por meio de Intents, enquanto o CVE-2021-38003 consiste em um bug de implementação inadequada no V8, o motor do navegador Chrome em JavaScript.
“Embora as informações sejam escassas, o aviso do Google confirmando que eles estão sendo ativamente explorados por invasores é suficiente para tentar atualizar o navegador o mais rápido possível”, comentou Camilo Gutiérrez Amaya, chefe do Laboratório de Pesquisa da ESET América Latina.
Até o momento, neste ano, foram descobertos 15 zero-days no Google Chrome apenas em 2021 e, acima de tudo, foram ativamente explorados. No início deste mês a empresa revelou o reparo dos dois últimos, que haviam sido o 12º e o 13º.
