Independentemente do novo pacote de recursos de segurança do Chrome na semana passada, o Google lançou um patch de segurança no final de agosto que corrigiu diversas vulnerabilidades de alta gravidade — duas das quais foram adicionadas à lista de Vulnerabilidades Exploradas Conhecidas (KEV) da Agência de Segurança Cibernética e de Infraestrutura (CISA) do governo dos EUA.
As duas ameaças (CVE-2024-7971 e CVE-2024-7965), que permitem que agentes de ameaças executem códigos remotamente, continuam sendo uma ameaça significativa para usuários que ainda não atualizaram o Chrome para a versão mais recente.
A CISA determinou que todos os funcionários federais atualizem para a versão mais recente do Chrome até 16 e 18 de setembro para as duas vulnerabilidades, respectivamente, ou “parem de usar seus navegadores”, conforme destacado pela Forbes. Vale a pena notar que, embora a determinação seja principalmente para funcionários do governo, muitas organizações usam suas diretrizes de catálogo KEV, tornando imperativo que elas também atualizem para a versão mais recente do Chrome — versão 128.0.6613.138, no momento da escrita.
O CVE-2024-7971 foi relatado pela primeira vez pela Microsoft e, de acordo com a gigante da tecnologia, ofereceu aos agentes de ameaças norte-coreanos acesso para executar remotamente códigos nos dispositivos das vítimas explorando o mecanismo V8 JavaScript e WebAssembly, impactando principalmente versões do Chromium anteriores a 128.0.6613.84. A vulnerabilidade segue o CVE-2024-4947 e o CVE-2024-5274, ambos os quais também tiraram vantagem da vulnerabilidade de confusão de tipo V8.
De acordo com a Microsoft, uma entidade norte-coreana que foi identificada como Granizo Citrino usa engenharia social e a vulnerabilidade V8 JavaScript para atrair vítimas a baixar software malicioso que coleta informações confidenciais, com os agentes da ameaça visando principalmente instituições financeiras no setor de criptomoedas.
A segunda vulnerabilidade, CVE-2024-7965, também foi explorada ativamente na natureza e funciona de forma semelhante à CVE-2024-7971. Foi relatada pela primeira vez por “TheDog” em 30 de julho de 2024, conforme compartilhado pela Difenda, e também foi corrigida na versão mais recente do Chrome.
A ferramenta Safety Check do Chrome, que agora roda automaticamente em segundo plano no Android e no desktop, deve ajudar a mitigar ameaças potenciais revogando permissões de sites que você não visita mais e sinalizando notificações indesejadas. A ferramenta também lembra os usuários se há um problema de segurança que precisa de intervenção manual, juntamente com varreduras regulares para atualizações de software e patches de segurança, com lembretes para atualizar se um estiver disponível.
Para verificar se o seu Chrome está atualizado, toque em menu de três pontos no canto superior direito e vá para Configurações. Clique em Privacidade e segurança → Verificação de segurança. A partir de hoje, o Chrome deve estar na versão 128.0.6613.138 para ser considerado o mais recente.
