O Google anunciou hoje, 28, o Chrome 99.0.4844.84 para usuários de Windows, Mac e Linux para abordar um bug de alta gravidade revelado alguns dias atrás.
“O Google está ciente de que uma exploração para o CVE-2022-1096 existe”, disse o fornecedor do navegador em um aviso de segurança publicado na última sexta-feira.
A versão 99.0.4844.84 já está sendo lançada em todo o mundo no canal Stable Desktop, e o Google diz que pode ser uma questão de semanas até chegar a toda a base de usuários.
Esta atualização estava disponível imediatamente quando o Tekimobile verificou novas atualizações, entrando no menu do Chrome > ajuda > sobre o Google Chrome.
O navegador da Web também verificará novamente as novas atualizações e as instalará automaticamente após o próximo lançamento.
Detalhes de exploração não revelados
O bug de zero-day corrigido hoje (rastreado como CVE-2022-1096) é uma falha de alta gravidade na engine Javascript Chrome V8 relatado por um pesquisador de segurança anônimo.
Embora falhas de confusão de tipo geralmente levem a falhas do navegador após a exploração bem sucedida lendo ou escrevendo memória fora dos limites do buffer, os atacantes também podem explorá-los para executar código arbitrário.
Embora o Google tenha dito que detectou ataques, a empresa não compartilhou detalhes técnicos ou informações adicionais sobre esses incidentes.
“O acesso a detalhes e links de bugs pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção”, disse o Google.
“Também manteremos restrições se o bug existir em uma biblioteca de terceiros que outros projetos dependem da mesma forma, mas ainda não foram corrigidos.”
Os usuários do Google Chrome devem ter tempo suficiente para atualizar o Chrome e evitar tentativas de exploração até que o fornecedor do navegador libere mais informações.
Coreia do Norte por trás de ataques
Com esta atualização, o Google abordou o zero-day desde o início de 2022, o outro (rastreado como CVE-2022-0609) corrigido no mês passado.
O Google Threat Analysis Group (TAG) revelou que hackers estatais apoiados pela Coreia do Norte exploraram o CVE-2022-0609 zero-day semanas antes do patch de fevereiro. O primeiro sinal de exploração ativa foi encontrado em 4 de janeiro de 2022.
O zero-day foi explorado por dois grupos de ameaças separados apoiados pelo governo norte-coreano em campanhas empurrando malware através de e-mails de phishing usando falsas iscas de emprego e sites comprometidos hospedando iframes escondidos para servir um kit de exploração.
“Os e-mails continham links falsificando sites legítimos de busca de emprego, como Indeed e ZipRecruiter”, explicaram os pesquisadores.
“Em outros casos, observamos sites falsos – já criados para distribuir aplicativos de criptomoedas trojanizados – hospedando iframes e apontando seus visitantes para o kit de exploração.”