Google corrige a quinta falha zero-day do Chrome em 2024

Falhas zero-day são consideradas graves e devem ser corrigidas o quanto antes; problema mais recente afeta Google Chrome para desktops

Por Emerson Alecrim

10/05/2024 às 15:25

Ilustração com a marca do Google Chrome — Google corrige a quinta falha zero-day do Chrome em 2024 (imagem: Vitor Pádua/Tecnoblog)

O Chrome para desktops recebeu uma importante correção nesta semana. De início, não há nada de incomum nisso. Atualizações de segurança fazem parte do ciclo de vida de qualquer software. O que chama a atenção aqui é o fato de esta ser a quinta correção zero-day que o navegador já recebeu em 2024.

Zero-day, ou dia zero, é o nome dado a uma vulnerabilidade até então desconhecida pela organização responsável pelo software, mas que foi descoberta ou explorada por agentes externos. Os desenvolvedores ficam então com “zero dia” para resolver o problema. Daí o nome.

A falha mais recente no Chrome, identificada como CVE-2024-4671, foi descoberta e reportada ao Google por um pesquisador anônimo, que não fez uso malicioso do problema (até onde se sabe). A falha foi registrada na terça-feira (7) e corrigida pela companhia dois dias depois.

Apesar da reação rápida, o Google relatou que, provavelmente, a falha já vem sendo explorada por outros agentes. Para evitar que o problema piore, os detalhes sobre a vulnerabilidade deverão ser mantidos sob sigilo até a correção ser distribuída para um número amplo de usuários.

Por ora, sabe-se que o problema afeta o mecanismo de renderização e exibição de conteúdo do navegador.

Google Chrome (imagem: Emerson Alecrim/Tecnoblog) — Google Chrome para desktop (imagem: Emerson Alecrim/Tecnoblog)

Cinco falhas zero-day no ano

O BleepingComputer chama a atenção para o fato de esta ser a quinta correção zero-day que o Google libera para o Chrome somente neste ano. E olha que 2024 não está nem na metade. As demais são as seguintes:

CVE-2024-0519: permite acesso a dados confidenciais por meio de uma falha no interpretador de JavaScript V8 do Chrome;
CVE-2024-2887: possibilita execução remota de código malicioso explorando uma falha via WebAssembly (Wasm);
CVE-2024-2886: também permite execução remota de código, mas por meio de uma vulnerabilidade na API WebCodecs;
CVE-2024-3159: falha que também envolve o interpretador Chrome V8, permite captura de informações confidenciais a partir de páginas HTML com código malicioso.

Todas essas falhas de segurança são consideradas graves, mas já foram corrigidas. Com relação ao problema mais recente, o Google informa que a correção será liberada a partir das versões 124.0.6367.201/.202 para Windows e macOS, e 124.0.6367.201 para Linux.

Se você usa o Chrome para desktop, precisa apenas aguardar pela atualização automática do navegador.