Google corrige falha no Chrome que pode ser explorada em chamadas de vídeo
Falha grave relacionada ao WebRTC (componente para chamadas de áudio e vídeo), fez Google liberar atualização inesperada do Chrome para Windows
De repente, o Google lança uma atualização do Chrome que não estava prevista. Quando isso acontece, a causa costuma ser uma vulnerabilidade. É o caso aqui. Nesta semana, a companhia liberou o Chrome 103.0.5060.114 para Windows. Trata-se de um esforço para corrigir uma falha que pode ser explorada quando o usuário participa de chamadas de vídeo via navegador.
- Como criar link para um trecho de uma página no Google Chrome
- Como extrair e copiar textos de imagens no Google Chrome
Esse é um problema de segurança do tipo zero-day, ou seja, que foi descoberto recentemente e, por isso, pode ser explorado antes de os desenvolvedores disponibilizarem uma correção. Daí a urgência para a nova versão do Chrome ser liberada.
Outra razão para a pressa está no “potencial de destruição”. Identificada como CVE-2022-2294, a falha dá abertura para uma série de ações maliciosas, como execução de código externo e desativação de ferramentas de segurança.
O Google ainda não deu detalhes sobre como o problema se manifesta ou se vítimas foram identificadas. A própria companhia explica que essa limitação nas informações visa evitar que a falha seja explorada antes de a atualização do navegador chegar a um grande número de máquinas.
A vulnerabilidade foi descrita, porém, como um “heap buffer overflow no WebRTC”. Trata-se, portanto, de um estouro de buffer, problema que ocorre quando um software ultrapassa o limite de memória reservada a ele.
Por sua vez, o WebRTC é uma API que permite a um navegador de internet executar chamadas de voz ou vídeo, sem que extensões tenham que ser instaladas para isso.
Um estouro de buffer envolvendo o WebRTC nos faz deduzir que o PC pode ser alvo de uma ação maliciosa quando o usuário estiver realizando uma reunião online via Chrome, portanto.
Como evitar o problema?
Obviamente, atualizando o Chrome para a versão 103.0.5060.114. Normalmente, isso é feito de modo automático. Mas, para ter certeza de que a atualização foi instalada, basta abrir o menu do navegador, ir em “Ajuda” e clicar em “Sobre o Google Chrome”.
Se a atualização não puder ser instalada imediatamente — isso pode acontecer em máquinas de uso corporativo, por exemplo —, a orientação é a de não usar o Chrome para chamadas de vídeo, temporariamente.
Vale destacar que a atualização também corrige outras duas vulnerabilidades. Uma é identificada como CVE-2022-2295 e envolve o V8 (motor de JavaScript). A outra é a falha CVE-2022-2296 e tem relação com o Chrome OS Shell.
![Como atualizar o Google Chrome [Android, iPhone e PC]](https://files.tecnoblog.net/wp-content/uploads/2018/11/browser-1666982_1280-1-340x191.png)
