O Google lançou correções de segurança para resolver uma falha de segurança de alta gravidade em seu navegador Chrome que, segundo ele, está sendo explorada ativamente.
Rastreado como CVE-2024-7971a vulnerabilidade foi descrita como um bug de confusão de tipos no mecanismo V8 JavaScript e WebAssembly.
“A confusão de tipos no V8 do Google Chrome anterior a 128.0.6613.84 permitiu que um invasor remoto explorasse a corrupção de heap por meio de uma página HTML criada”, de acordo com uma descrição do bug no Banco de Dados Nacional de Vulnerabilidades (NVD) do NIST.
O Microsoft Risk Intelligence Middle (MSTIC) e o Microsoft Safety Response Middle (MSRC) foram creditados por descobrir e relatar a falha em 19 de agosto de 2024.
Nenhum detalhe adicional sobre a natureza dos ataques que exploram a falha ou a identidade dos agentes da ameaça que podem estar usando-a como arma foi divulgado, principalmente para garantir que a maioria dos usuários seja atualizada com uma correção.
A gigante da tecnologia, no entanto, reconheceu em uma declaração concisa que está “ciente de que um exploit para CVE-2024-7971 existe na natureza”. Vale mencionar que CVE-2024-7971 é o terceiro tipo de bug de confusão que foi corrigido no V8 este ano, depois de CVE-2024-4947 e CVE-2024-5274.
O Google já abordou nove problemas de dia zero no Chrome desde o início de 2024, incluindo três que foram demonstrados no Pwn2Own 2024 –
É recomendado que os usuários atualizem para a versão 128.0.6613.84/.85 do Chrome para Home windows e macOS, e a versão 128.0.6613.84 para Linux para mitigar possíveis ameaças.
Usuários de navegadores baseados em Chromium, como Microsoft Edge, Courageous, Opera e Vivaldi, também são aconselhados a aplicar as correções assim que estiverem disponíveis.
