O Google lançou uma atualização de emergência para o navegador Chrome que engloba três vulnerabilidades: CVE-2021-37974CVE-2021-37975, e CVE-2021-37976.

Os especialistas da empresa consideram uma das vulnerabilidades crítica e as outras duas altamente perigosas.

O que é pior: de acordo com o Google, os cibercriminosos já exploraram duas dessas três falhas.

Portanto, a empresa aconselha todos os usuários do Chrome a atualizarem imediatamente o navegador para a versão 94.0.4606.71.

Essas vulnerabilidades também são relevantes para outros navegadores baseados no mecanismo Chromium – por exemplo, a Microsoft recomenda atualizar o Edge para a versão 94.0.992.

Por que essas vulnerabilidades no Google Chrome são perigosas

A CVE-2021-37974 e a CVE-2021-37975 são vulnerabilidades de classe use-after-free (UAF) – elas exploram o uso incorreto de memória heap e, como resultado, podem levar à execução arbitrária de código no computador de destino.

A primeira, a CVE-2021-37974, está relacionada ao componente Navegação segura, um subsistema do Google Chrome que alerta os usuários sobre sites e downloads não seguros.

A classificação de gravidade CVSS v3.1 para esta vulnerabilidade é de 7,7 em 10.

A segunda vulnerabilidade, a CVE-2021-37975, foi encontrada no V8 JavaScript do Crome.

Ela é considerada a mais perigosa de todos os três – 8,4 na escala CVSS v3.1, o que a torna uma vulnerabilidade de risco “crítica”. Golpistas já estão usando essa vulnerabilidade em seus ataques aos usuários do Chrome.

A causa da terceira vulnerabilidade, a CVE-2021-37976, é a superexposição de dados causada pelo núcleo do Google Chrome. É um pouco menos perigosa – 7,2 na escala CVSS v3.1, no entanto, também já está sendo usada por cibercriminosos.

Como os cibercriminosos podem explorar essas vulnerabilidades

A exploração de todas as três vulnerabilidades requer a criação de uma página da web maliciosa.

Tudo o que os invasores precisam é criar um site com uma exploração incorporada e uma maneira de atrair as vítimas para ela.

Como resultado, as explorações de duas vulnerabilidades de uso após a liberação permitem que os invasores executem códigos arbitrários nos computadores de usuários do Chrome, que não fizeram a atualização, e que acessaram a página.

Isso pode levar ao comprometimento de seu sistema.

Um exploit para a terceira vulnerabilidade, CVE-2021-37976, permite que os atacantes obtenham acesso às informações confidenciais da vítima.

O Google provavelmente revelará mais detalhes sobre as vulnerabilidades depois que a maioria dos usuários atualizar seus navegadores. Em qualquer caso, não vale a pena atrasar a atualização – muito melhor fazê-la o mais rápido possível.

Como atualizar o Google Chrome

A primeira etapa para todos é atualizar os navegadores em todos os dispositivos que têm acesso à Internet.

Muitas vezes, a atualização é instalada automaticamente quando o navegador é reiniciado, no entanto, muitos usuários não reiniciam o computador por um longo tempo, então o browser pode permanecer vulnerável por vários dias ou até semanas.

Em qualquer caso, recomendamos verificar a versão do Chrome.

Veja como fazer isso:

  • Clique no botão Personalizar no Google Chrome no canto superior direito da janela do navegador
  • Selecione a opção Ajuda 
  • Sobre o Google Chrome.
  • Se a versão do seu navegador não for a mais recente disponível, o Chrome iniciará automaticamente a atualização.

Para proteção extra, recomendamos que os usuários instalem soluções de segurança em todos os dispositivos com acesso à Internet.

Dessa forma, mesmo que você seja pego sem um navegador atualizado, as tecnologias de proteção proativa irão minimizar a possibilidade de exploração bem-sucedida da vulnerabilidade.

Também recomendamos que os funcionários dos departamentos de segurança da informação corporativa usem as soluções de segurança em todos os dispositivos, monitorem as atualizações de segurança e empreguem a entrega automática de atualizações e o sistema de controle. Também seria razoável priorizar a instalação de atualizações do navegador.

Siga o Dica App do Dia em nossas redes sociais e também nos agregadores de notícias Flipboard e Google Notícias.

Deixe uma resposta