O Google anunciou nesta sexta-feira (12) o lançamento de mais uma atualização emergencial de segurança para corrigir vulnerabilidades zero-day encontradas em seu nevegador, o Google Chrome. Esta é a quinta atualização emergencial lançada ainda neste ano.
- Vulnerabilidade crítica é identificada no PJeOffice, software do Conselho Nacional de Justiça
- Babás eletrônicas podem vazar vídeos de crianças, caso mal configuradas
- Pesquisador invade Microsoft, Apple, PayPal e Netflix… Usando só código aberto
A atualização está disponível para usuários do navegador no Windows, MacOS e Linux e corrige cinco vulnerabilidade zero-day que foram encontradas recentemente, por pesquisadores externos. Não foi divulgado se as vulnerabilidades foram exploradas anteriormente.
De acordo com a Prudhvikumar Bommana, gerente de programa técnico para o Google Chrome, três das cinco vulnerabilidades possuem uma gravidade de "alto risco", nível mais sério de gravidade estabelecido pelo Google. São elas:
- CVE-2021-21191: que envolve a API WebRTC, relatada por @raid_akame em janeiro deste ano;
- CVE-2021-21192: que envolve um buffer overflow em grupos de abas, relatado por Abdulrahman Alqabandi, em fevereiro deste ano;
- CVE-2021-21193: que envolve o motor de renderização Blink, reportada anonimamente em março deste ano.
"Esta atualização (versão 89.0.4389.90) inclui 5 correções de segurança [...] Os bugs de segurança foram detectados usando [as ferramentas] AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer e AFL", escreve Bommana, em um post no blog no navegador.
No Twitter, o usuário @raid_akame, responsável por encontrar a vulnerabilidade na API WebRTC (CVE-2021-21191) reclama que não recebeu nenhuma recompensa por encontrar a falha.
Serveral chrome render uaf and no bug bounty, so sad..
— raven (@raid_akame) January 14, 2021
A atualização está sendo enviada de forma automatizada para os usuários do navegador. No entanto, caso seja necessário atualizar manualmente, o patch está disponível pelo link.
Fonte: Google.