O Google revelou que uma falha de segurança corrigida como parte de uma atualização de software lançada na semana passada em seu navegador Chrome está sendo explorada ativamente.
Rastreada como CVE-2024-7965 , a vulnerabilidade foi descrita como um bug de implementação inapropriado no mecanismo V8 JavaScript e WebAssembly.
V8 do Google Chrome
“A implementação inadequada no V8 do Google Chrome antes de 128.0.6613.84 permitiu que um invasor remoto explorasse potencialmente a corrupção de heap por meio de uma página HTML criada”, de acordo com uma descrição do bug no Banco de Dados Nacional de Vulnerabilidades (NVD) do NIST.
Um pesquisador de segurança que atende pelo pseudônimo online TheDog foi creditado por descobrir e relatar a falha em 30 de julho de 2024, o que lhe rendeu uma recompensa de US$ 11.000.
Especificidades adicionais sobre a natureza dos ataques que exploram a falha ou a identidade dos atores da ameaça que podem estar utilizando-a não foram divulgadas. A gigante da tecnologia, no entanto, reconheceu que está ciente da existência de um exploit para CVE-2024-7965.
Ele também disse que “a exploração selvagem do CVE-2024-7965 […] foi relatada após este lançamento”. Dito isso, atualmente não está claro se a falha foi transformada em arma de dia zero antes de sua divulgação na semana passada.
O Hacker News entrou em contato com o Google para obter mais informações sobre a falha e atualizaremos a história se recebermos uma resposta.
O Google já abordou nove problemas de dia zero no Chrome desde o início de 2024, incluindo três que foram demonstrados no Pwn2Own 2024 –
- CVE-2024-0519 – Acesso à memória fora dos limites no V8
- CVE-2024-2886 – Use-after-free em WebCodecs (demonstrado no Pwn2Own 2024)
- CVE-2024-2887 – Confusão de tipos no WebAssembly (demonstrado no Pwn2Own 2024)
- CVE-2024-3159 – Acesso à memória fora dos limites no V8 (demonstrado no Pwn2Own 2024)
- CVE-2024-4671 – Uso após liberação em recursos visuais
- CVE-2024-4761 – Escrita fora dos limites no V8
- CVE-2024-4947 – Confusão de tipos no V8
- CVE-2024-5274 – Confusão de tipos no V8
- CVE-2024-7971 – Confusão de tipos no V8
É altamente recomendável que os usuários atualizem para a versão 128.0.6613.84/.85 do Chrome para Windows e macOS, e a versão 128.0.6613.84 para Linux para mitigar possíveis ameaças.
Fontes: The Hacker News
1 thought on “Google alerta sobre falha de segurança do Chrome CVE-2024-7965 sob exploração ativa”
Comments are closed.