Os desenvolvedores do Google lançaram a versão do Chrome 86.0.4240.183 para Windows, Mac e Linux, que consertou 10 problemas diferentes. A atualização também inclui um patch para uma vulnerabilidade de dia 0 no Google Chrome, que os hackers já estão usando ativamente.
O bug foi identificado como CVE-2020-16009 e foi descoberto pelo Grupo de Análise de Ameaças (MARCAÇÃO), Equipe de segurança interna do Google dedicada a rastrear invasores e suas operações contínuas.
Até aqui, detalhes sobre a vulnerabilidade e sua exploração não foram divulgados. Vale ressaltar que esta é uma prática comum do Google: os especialistas da empresa podem “mantenha o silêncio” durante meses nos detalhes técnicos de bugs para não dar dicas aos cibercriminosos e permitir que os usuários instalem atualizações com calma.
Devo dizer que há duas semanas, Especialistas do Google corrigiu outra vulnerabilidade de dia 0 no navegador deles. O erro também foi descoberto internamente por especialistas do Google Project Zero. Foi identificado como CVE-2020-15999 e foi associado à biblioteca de renderização de fontes FreeType que vem com distribuições padrão do Chrome. Sabe-se que o bug está associado à violação da integridade das informações na memória.
Deixe-me lembrá-lo disso CVE-2020-15999 foi usado em conjunto com outra vulnerabilidade de dia 0 – CVE-2020-17087, um bug sério encontrado no kernel do Windows.
Por exemplo, uma vulnerabilidade no Chrome foi usada para executar código malicioso dentro do navegador, e o dia zero foi usado no Windows durante a segunda parte do ataque, que permitiu que invasores deixassem o contêiner seguro do Chrome e executassem o código já no nível do sistema operacional (aquilo é, escapar da caixa de areia). Espera-se que a Microsoft corrija esse problema em 10 de novembro como parte do Patch Tuesday.