- Lançamentos do Google Aviso de segurança do Chrome, que inclui um patch de dia zero para o mecanismo JavaScript do Chrome.
- CVE-2021-30551 recebe uma classificação elevada, com apenas um bug que não está à solta, explorado por terceiros mal-intencionados.
- De acordo com o Google, o acesso aos detalhes e links do bug pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção.
- O O bug CVE-2021-30551 é listado pelo Google como confusão de tipo no V8, o que significa que a segurança do JavaScript pode ser ignorada para a execução de código não autorizado.
Os usuários ainda estão pensando no Microsoft anterior Anúncio da Patch Tuesday, o que era muito ruim na opinião deles, com seis vulnerabilidades in-the-wild corrigidas.
Sem mencionar aquele enterrado profundamente nos vestígios do código de renderização da web MSHTML do Internet Explorer.
14 correções de segurança em uma única atualização
Agora, o Google lança Aviso de segurança do Chrome, que você pode querer saber inclui um patch de dia zero (CVE-2021-30551) para o mecanismo JavaScript do Chrome, entre suas outras 14 correções de segurança oficialmente listadas.
Para quem ainda não conhece o termo, Dia zero é um momento imaginativo, pois este tipo de ataque cibernético acontece em menos de um dia desde o conhecimento da falha de segurança.
Portanto, não dá aos desenvolvedores quase tempo suficiente para erradicar ou mitigar os riscos potenciais associados a esta vulnerabilidade.
Semelhante ao Mozilla, o Google também agrupa outros bugs em potencial que encontrou usando métodos genéricos de caça a bugs, listados como Várias correções de auditorias internas, difusão e outras iniciativas.
Os difusores podem produzir, senão milhões, centenas de milhões de entradas de teste durante a execução da prova.
No entanto, as únicas informações que eles precisam armazenar são nos casos que fazem com que o programa tenha um comportamento incorreto ou falhe.
Isso significa que eles podem ser usados posteriormente no processo, como pontos de partida para os caçadores de insetos humanos, o que também economizará muito tempo e mão de obra.
Bugs estão sendo explorados na natureza
O Google começa mencionando o bug de dia zero, afirmando que estão] cientes de que existe um exploit para o CVE-2021-30551.
Este bug em particular está listado como tipo confusão em V8, onde V8 representa a parte do Chrome que executa o código JavaScript.
A confusão de tipos significa que você pode fornecer ao V8 um item de dados, enquanto engana o JavaScript para manipulá-lo como se fosse algo totalmente diferente, potencialmente contornando a segurança ou mesmo executando um código não autorizado.
Como a maioria de vocês deve saber, as violações de segurança do JavaScript que podem ser acionadas por código JavaScript embutido em uma página da web, mais do que frequentemente resultam em explorações RCE, ou mesmo execução remota de código.
Com tudo isso dito, o Google não está esclarecendo se o bug CVE-2021-30551 pode ser usado para execução remota de código hardcore, o que geralmente significa que os usuários são vulneráveis a ataques cibernéticos.
Só para ter uma ideia de quão sério isso é, imagine navegar em um site, sem realmente clicar em nenhum pop-ups, podem permitir que terceiros maliciosos executem códigos invisíveis e implantem malware em seu computador.
Assim, CVE-2021-30551 apenas obtém uma classificação elevada, com apenas um bug que não está à solta (CVE-2021-30544), classificado como crítico.
Pode ser que o bug CVE-2021-30544 tenha uma menção crítica atribuída a ele porque ele poderia ser explorado para RCE.
No entanto, não há sugestão de que ninguém além do Google, bem como os pesquisadores que o relataram, saiba como fazer isso, no momento.
A empresa também menciona que o acesso aos detalhes e links do bug pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção
Qual é a sua opinião sobre o patch de dia zero mais recente do Google? Compartilhe suas idéias conosco na seção de comentários abaixo.
