10 vulnerabilidades graves no Google Chrome

A recente atualização do Google Chrome corrige 10 vulnerabilidades de alta gravidade e uma dúzia de bugs menos críticos. Hora de atualizar seu navegador!

Atualizado em 7 de abril: um dos pesquisadores do Google encontrou outra vulnerabilidade com alto grau de severidade (CVE-2022-1232) no Chrome em 30 de março, que foi corrigida vários dias depois. Essa vulnerabilidade também está relacionada à classe Type Confusion no mecanismo V8 do Chrome. O Google ainda não revelou mais nenhuma informação. Diante desse cenário, você deve atualizar seu navegador Chrome para a versão 100.0.4896.75 imediatamente, seja usuário do Windows, Mac ou Linux.

O Google corrigiu 28 vulnerabilidades lançando a atualização 100.0.4896.60 para o navegador Chrome. Pelo menos 9 delas são classificadas como de alta gravidade – adicionando ao CVE-2022-1096, outra vulnerabilidade de alta gravidade que o Google corrigiu com uma atualização separada há poucos dias. Portanto, no total, os desenvolvedores do Chrome lançaram patches para 10 vulnerabilidades de alto risco em menos de uma semana. Em outras palavras, se você não reiniciou seu computador por algum tempo ou não reiniciou seu navegador recentemente, então é hora de atualizar.

Vulnerabilidade CVE-2022-1096

Até agora, o Google não publicou detalhes sobre nenhuma das vulnerabilidades – de acordo com a política de segurança da empresa, o acesso a uma descrição detalhada dos bugs não é divulgada até que a maioria dos usuários ativos atualize seu navegador. Mas já está claro que é a vulnerabilidade CVE-2022-1096 (aquela que o Google resolveu com uma patch separada na sexta-feira, 25 de março, apenas quatro dias antes da grande atualização) que pode causar problemas reais.

A CVE-2022-1096 pertence à classe Type Confusion, ou seja, está ligada a algum erro no tratamento de tipos de dados no motor V8. A vulnerabilidade é bastante perigosa, a julgar pelo fato de que o Google abordou esse bug separadamente com uma patch de emergência. Além disso, de acordo com as notas de lançamento da correção, o Google estava ciente de que ela já estava sendo explorada em 25 de março. No dia seguinte, a Microsoft corrigiu a mesma vulnerabilidade em seu navegador Edge baseado em Chromium. Resumindo as informações disponíveis, é razoável supor que uma exploração para a vulnerabilidade não apenas existe, mas está sendo usada ativamente pelos invasores.

Outras 28 novas vulnerabilidades

Das 28 vulnerabilidades que a atualização mais recente aborda, a maioria (20) foi descoberta por pesquisadores independentes e as oito restantes por especialistas internos do Google. Das nove vulnerabilidades com alto nível de gravidade, quatro (CVE-2022-1125, CVE-2022-1127, CVE-2022-1131, CVE-2022-1133) pertencem à classe use-after-free; mais três (CVE-2022-1128, CVE-2022-1129, CVE-2022-1132) estão relacionadas a implementações inadequadas em vários componentes, outra (CVE-2022-1130) tem a ver com uma validação insuficiente de entrada não confiável em WebOTP e a restante (CVE-2022-1134), como o já mencionado na CVE-2022-1096, é um problema de Type Confusion no motor V8.

Mantenha-se Seguro

Primeiro, você precisa atualizar seu navegador para a versão mais recente — no momento da redação deste artigo, é 100.0.4896.60. Se sua versão do Chrome for mais antiga, isso significa que seu navegador não foi atualizado automaticamente e recomendamos atualizá-lo manualmente usando nossas instruções. Se você usa o Microsoft Edge, não se esqueça de atualizá-lo também – isso é feito da mesma maneira que no Google Chrome.

Também recomendamos que você acompanhe as notícias e atualize oportunamente os programas mais críticos, incluindo soluções de segurança, navegadores, suítes de escritório e o próprio sistema operacional.

Além disso, recomendamos o uso de soluções de segurança confiáveis que podem detectar e impedir automaticamente tentativas de explorar vulnerabilidades, para que você se mantenha protegido ataques mesmo antes do lançamento de patches oficiais.

Fique conectado, fique seguro

Dicas