O Google corrigiu a quinta falha de segurança conhecida como zero-day no Chrome este ano, como parte de uma série de correções feitas em uma atualização de canal estável lançada na quarta-feira.
O defeito, identificado como CVE-2022-2856 e classificado como de alto risco no Common Vulnerability Scoring System (CVSS), está ligado à “falta de validação adequada de informações não confiáveis em Intents”, conforme relatado pela consultoria divulgada pelo Google.
Ashley Shen e Christian Resell do Google Threat Analysis Group (TAG) foram creditados por descobrir um bug de dia zero em 19 de julho, que poderia possibilitar a execução de código arbitrário. Além disso, o TAG revelou mais 10 correções para diferentes problemas do Chrome.
Intents são uma funcionalidade de integração avançada no sistema operacional Android, presente no navegador Chrome, que tomou o lugar dos esquemas URI no gerenciamento desse processo, conforme explicado pela Branch, uma empresa especializada em soluções de redirecionamento para aplicativos móveis.
“Segundo a empresa em seu site, ao invés de especificar a localização da janela ou o iframe.src para o esquema URI no Chrome, os desenvolvedores devem utilizar a cadeia de intenção conforme descrito neste documento. O conceito de intenção é considerado complexo, porém lida automaticamente com a situação em que o aplicativo móvel não está instalado ao lidar com links, como mencionado no post.”
A falta de validação adequada está ligada à validação de entrada, uma prática comum para analisar entradas que possam representar riscos, a fim de garantir que sejam seguras ao serem processadas no código ou ao se comunicarem com outros elementos, conforme descrito no site Common Weakness Enumeration da MITRE.
Quando o software não verifica adequadamente a entrada, um invasor pode manipulá-la de forma inesperada pela aplicação. Isso pode causar o recebimento de dados não intencionais em certas partes do sistema, levando a possíveis alterações no fluxo de controle, controle arbitrário de recursos ou execução de código arbitrário.
Defending Against Attacks
Como é comum, o Google optou por não fornecer informações detalhadas sobre o erro até que tenha sido amplamente corrigido, a fim de evitar que criminosos tirem proveito dele. Essa é uma estratégia considerada prudente por um especialista em segurança.
Divulgar informações sobre uma falha de segurança recém-descoberta que está sendo usada por hackers, juntamente com a disponibilidade de um patch, pode resultar em graves consequências. Isso ocorre porque leva tempo para implementar as atualizações de segurança em sistemas vulneráveis, enquanto os cibercriminosos estão ansiosos para se aproveitar dessas brechas de segurança. Essa observação foi feita por Satnam Narang, engenheiro sênior de pesquisa da empresa de segurança cibernética Tenable, em um e-mail enviado ao Threatpost.
Manter dados é importante, considerando que outras distribuições Linux e navegadores, como o Microsoft Edge, contêm código derivado do Projeto Chromium do Google. Isso significa que todos esses sistemas poderiam ser afetados caso uma vulnerabilidade seja explorada.
“Narang acrescentou que ter essa proteção é de grande valor para os defensores.”
A maioria das correções na atualização visam vulnerabilidades consideradas de alto ou médio risco. No entanto, o Google solucionou um bug crítico identificado como CVE-2022-2852, um problema de execução livre relatado por Sergei Glazunov do Google Project Zero em 8 de agosto. O FedCM, abreviação para API de Gestão de Credenciais Federadas, oferece uma abstração específica para cenários de identidade federada na web, conforme explicado pelo Google.
Até agora, ainda não foi lançada uma correção para a vulnerabilidade do Chrome de quinta geração.
O quinto problema do Chrome que estava sendo explorado ativamente e foi corrigido pelo Google este ano é o patch de dia zero.
Em julho, a empresa identificou e corrigiu uma vulnerabilidade de sobrefluxo de buffer no WebRTC, o mecanismo responsável pela capacidade de comunicação em tempo real do Chrome. Em maio, outra vulnerabilidade semelhante foi descoberta e corrigida com um patch, após ser alvo de ataques ativos.
Em abril, o Google corrigiu a vulnerabilidade CVE-2022-1364, que é um erro de tipo que afeta a falha de segurança do Chrome no motor JavaScript V8, que já havia sido explorada por invasores. No mês anterior, uma outra vulnerabilidade de tipo-confusão no V8, identificada como CVE-2022-1096, que também estava sendo ativamente explorada, levou a uma correção urgente.
Em fevereiro, uma vulnerabilidade crítica foi corrigida no Chrome, relacionada ao componente de animação e identificada como CVE-2022-0609. Essa falha, que já estava sendo explorada por hackers norte-coreanos, foi detectada e corrigida após um ataque.
Divulgue este artigo.
- Fragilidades ou pontos fracos.
- Proteção online
