Google corrige a quinta falha zero-day do Chrome em 2024

Falhas zero-day são consideradas graves e devem ser corrigidas o quanto antes; problema mais recente afeta Google Chrome para desktops

Emerson Alecrim

O Chrome para desktops recebeu uma importante correção nesta semana. De início, não há nada de incomum nisso. Atualizações de segurança fazem parte do ciclo de vida de qualquer software. O que chama a atenção aqui é o fato de esta ser a quinta correção zero-day que o navegador já recebeu em 2024.

Zero-day, ou dia zero, é o nome dado a uma vulnerabilidade até então desconhecida pela organização responsável pelo software, mas que foi descoberta ou explorada por agentes externos. Os desenvolvedores ficam então com “zero dia” para resolver o problema. Daí o nome.

A falha mais recente no Chrome, identificada como CVE-2024-4671, foi descoberta e reportada ao Google por um pesquisador anônimo, que não fez uso malicioso do problema (até onde se sabe). A falha foi registrada na terça-feira (7) e corrigida pela companhia dois dias depois.

Apesar da reação rápida, o Google relatou que, provavelmente, a falha já vem sendo explorada por outros agentes. Para evitar que o problema piore, os detalhes sobre a vulnerabilidade deverão ser mantidos sob sigilo até a correção ser distribuída para um número amplo de usuários.

Por ora, sabe-se que o problema afeta o mecanismo de renderização e exibição de conteúdo do navegador.

Google Chrome (imagem: Emerson Alecrim/Tecnoblog)
Google Chrome para desktop (imagem: Emerson Alecrim/Tecnoblog)

Cinco falhas zero-day no ano

O BleepingComputer chama a atenção para o fato de esta ser a quinta correção zero-day que o Google libera para o Chrome somente neste ano. E olha que 2024 não está nem na metade. As demais são as seguintes:

  • CVE-2024-0519: permite acesso a dados confidenciais por meio de uma falha no interpretador de JavaScript V8 do Chrome;
  • CVE-2024-2887: possibilita execução remota de código malicioso explorando uma falha via WebAssembly (Wasm);
  • CVE-2024-2886: também permite execução remota de código, mas por meio de uma vulnerabilidade na API WebCodecs;
  • CVE-2024-3159: falha que também envolve o interpretador Chrome V8, permite captura de informações confidenciais a partir de páginas HTML com código malicioso.

Todas essas falhas de segurança são consideradas graves, mas já foram corrigidas. Com relação ao problema mais recente, o Google informa que a correção será liberada a partir das versões 124.0.6367.201/.202 para Windows e macOS, e 124.0.6367.201 para Linux.

Se você usa o Chrome para desktop, precisa apenas aguardar pela atualização automática do navegador.

Leia | Como corrigir o erro JavaScript: void (0) no navegador

Relacionados

Escrito por

Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.