Conforme informado pela empresa no dia 23 de maio um nova atualização do Chrome foi liberada para corrigir mais uma vulnerabilidade que foi explorada nesse navegador, o que chama a atenção é que foi o quarto zero-day a ser corrigido em duas semanas. Claro sinal de que a sempre o que investigar e mitigar no ambiente tecnológico.
A Vulnerabilidade classificada como CVE-2024-5274, considerada uma falha de alta gravidade é descrita como uma confusão de tipo no engine V8 de JavaScript e WebAssembly. A empresa deu seu parecer sobre a situação: “O Google está ciente de que existe um exploit para CVE-2024-5274 em circulação”.
Infelizmente não existem detalhes sobre o bug, nem sobre qualquer exploração ativa no momento, porém a empresa creditou Clement Lecigne do Google Threat Analysis Group (TAG) e Brendon Tiszka, do Chrome Security, por informarem a falha, apensar do reconhecimento não haverá recompensa por bug bounty pela identificação.
Sabemos que as vulnerabilidades do Chrome são frequentemente exploradas por empresas de software de vigilância comercial, e pesquisadores do Google TAG informaram anteriormente vários zero-days direcionados por fornecedores de spyware, que claro incluem as falhas de segurança no navegador do Google.
A CVE-2024-5274 é o quarto zero-day que precisa de correção nos últimos 15 dias, sendo que anteriormente o Google corrigiu a CVE-2024-4671 (uso após liberação no Visuals), CVE-2024-4761 (gravação fora dos limites no V8) e CVE-2024-4947 (confusão de tipo no V8). Sinal de alerta ligado aos Gestores de Ti, para manter seu ambiente em dia com as correções, sabendo que o o navegador do google é extremamente popular nos ambientes empresariais.
No total o Google resolveu um total de oito zero-days do Chrome até agora este ano, com três deles, nomeadamente CVE-2024-2886, CVE-2024-2887 e CVE-2024-3159, demonstrados na competição de hacking Pwn2Own Vancouver 2024 em março, o que mostra um empenho muito animador em relação a cibersegurança.
A versão mais recente do Chrome está sendo liberada como versão 125.0.6422.112 para Linux e como versões 125.0.6422.112/.113 para Windows e macOS. O Google também informou a liberação do Chrome para Android versões 125.0.6422.112/.113 com as mesmas correções de segurança.
E você? Como realiza a implantação destas correções ? Você possui visibilidade em relação aos seus Endpoints?
Conheça o Endpoint Central da ManageEngine
O Endpoint Central ajuda os administradores de TI a realizar o gerenciamento de patches, implantação de software, gerenciamento de dispositivos móveis, implantação de SO e usar o controle remoto para solucionar problemas de dispositivos. E com a ajuda do complemento Endpoint Security, que inclui avaliação de vulnerabilidade, controle de aplicativos, controle de dispositivos, BitLocker Management e segurança do navegador, os administradores de TI podem proteger seus Endpoints de rede. Além disso, o Endpoint Central integra-se perfeitamente com ManageEngine e outras soluções de terceiros.
ACSoftware Parceira ManageEngine no Brasil. – Fone / WhatsApp (11) 4063 9639.
PodCafé da TI – Podcast, Tecnologia e Cafeína.