Você tem mantido o Google Chrome de seu computador e sua empresa atualizados? Foram identificadas ameaças críticas para o Chrome, entretanto usuários ainda aguardam a publicação da atualização zero day para esta semana. A versão 103.0.5060.114 será lançada para usuários Windows nos próximos dias, de acordo com o comunicado emitido pela empresa.
Na atualização está incluso a CVE-2022-2094 de alta gravidade, um bug de estouro de buffer de heap no WebRTC. O pesquisador da Avast, Jan Vojtesek relatou a vulnerabilidade em 1 de julho deste ano. “Também gostaríamos de agradecer a todos os pesquisadores de segurança que trabalharam conosco durante o ciclo de desenvolvimento para evitar que bugs de segurança chegassem ao canal estável”, disse o Google. “Estamos ciente que existe um exploit para a CVE-2022-2294”.
Não é conhecido, até o momento, como a falha está sendo explorada, por quem ou qual a finalidade, porém o Google detalhou outras duas vulnerabilidades de alta gravidade que pesquisadores externos encontraram que também foram corrigidas na atualização.
A primeira vulnerabilidade está presente na CVE-2022-2295, erro de confusão de tipos no mecanismo JavaScript V8, a segunda vulnerabilidade está presente na CVE-2022-2296, que apresenta uma falha de uso posterior (UAF) no shell do Chrome OS. A MITRE, organização sem fins lucrativos que opera centros de pesquisa e desenvolvimento de segurança cibernética patrocinados pelo governo americano, informou que vulnerabilidades de confusão de tipos ocorrem quando “o programa aloca ou inicializa um recurso como um ponteiro, objeto ou variável usando um tipo, mas depois acessa esse recurso usando um tipo que é incompatível com o tipo original”.
De acordo com o CISO Advisor, O vice-presidente de segurança e arquitetura da Keeper Security, Patrick Tiquet, explicou que a CVE-2022-2294 pode levar à execução de código remoto arbitrário simplesmente visitando um site malicioso. “Isso pode permitir que invasores roubem informações através da instalação de malwares no sistema de destino, além de executar uma variedade de ações. Os navegadores da Web são aplicativos essenciais que quase todos os serviços baseados em nuvem têm em comum e, portanto, são alvos de alta prioridade — o comprometimento de um navegador da Web pode ser aproveitado para comprometer qualquer serviço baseado em nuvem acessado por esse navegador”, acrescentou.
Após as atualizações de fevereiro, março e abril, esse já é o quarto bug zero day que o Google precisa corrigir. Nesse contexto é importante que as empresas estejam sempre atentas as vulnerabilidades presentes nesses navegadores afim de evitar o roubo de dados e o comprometimento das informações corporativas.
O EndPoint Central da ManageEngine é uma ferramenta completa para gerenciamento de EndPoints com um módulo dedicado a gerenciar Patches de atualização do SO e de possíveis softwares vulneráveis instalados no parque de máquinas da empresa.
Isso ajuda a identificar os sistemas que precisam de atenção para que as medidas apropriadas possam ser tomadas para manter a rede protegida contra ataques cibernéticos.
Para ficar por dentro do grande número de patches lançados todos os dias, você precisa de um software de gerenciamento automatizado eficaz. O Endpoint Central oferece um sistema de gerenciamento de patches totalmente automatizado para Windows, Mac, Linux e aplicações de terceiros.
É possível ainda verificar as CVE’s conhecidas e receber as atualizações de dia zero lançada pelos fabricantes de SO e softwares de terceiros como as do Google Chrome citadas nessa publicação e aplicar para todo o parque de máquinas da empresa de uma só vez diminuindo assim os riscos de invasão e resolvendo os problemas de vulnerabilidade.
Quer entender melhor como a ferramenta Endpoint Central funciona e pode auxiliar seu time de TI a deixar seu parque de máquinas sempre atualizado e livre de vulnerabilidades? Clique no botão abaixo e tenha acesso à ferramenta por um período de 30 dias com o acompanhamento do suporte da AcSoftware!
ACSoftware revenda e distribuidora ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.
