Bug Zero-Day do Google Chrome é explorado constantemente

O gigante da Internet emitiu uma atualização para o bug, que é encontrado no mecanismo JavaScript V8 de código aberto.
O bug, rastreado como CVE-2022-1096, é um problema de confusão de tipos no mecanismo JavaScript V8, que é um mecanismo de código aberto usado pelos navegadores da Web baseados no Chrome e no Chromium. A confusão de tipos, como a Microsoft estabeleceu no passado, ocorre “quando um pedaço de código não verifica o tipo de objeto que é passado para ele e o usa cegamente sem verificação de tipo, leva à confusão de tipo … confusão de tipos, ponteiros de função ou dados errados são inseridos na parte errada do código. Em algumas circunstâncias, isso pode levar à execução de código.”

O bug, rastreado como CVE-2022-1096, é um problema de confusão de tipos no mecanismo JavaScript V8, que é um mecanismo de código aberto usado pelos navegadores da Web baseados no Chrome e no Chromium. A confusão de tipos, como a Microsoft estabeleceu no passado, ocorre “quando um pedaço de código não verifica qual o objeto que é passado para ele e o usa cegamente sem verificação do tipo, o que leva à confusão de tipo, ponteiros de função ou dados errados são inseridos na parte errada do código. Em algumas circunstâncias, isso pode levar à execução de código.”

O Google não forneceu detalhes técnicos adicionais, como de costume, mas disse que estava “consciente de que existe um exploit para o CVE-2022-1096”. Um pesquisador anônimo foi creditado por encontrar o problema, que é rotulado como “alta gravidade” (nenhuma pontuação CVSS foi dada).

A falta de qualquer informação adicional é uma fonte de frustração para alguns.

“Como defensor, eu realmente gostaria que ficasse mais claro qual é essa correção de segurança”, disse John Bambenek, principal caçador de ameaças da Netenrich, por e-mail. “Recebo erros de permissão negada ou ‘preciso autenticar’, então não posso tomar decisões ou aconselhar meus clientes. Um pouco mais de transparência seria benéfico e apreciado.”

Patch de emergência; Exploração ativa

A gigante da internet atualizou o canal Stable para 99.0.4844.84 para Chrome para Windows, Mac e Linux, de acordo com seu comunicado de segurança. A Microsoft, que oferece o navegador Edge baseado em Chromium, também emitiu seu próprio comunicado. Não está claro se outras ofertas integradas na V8, como o ambiente de tempo de execução JavaScript Node.js, também são afetadas.

O patch foi emitido em caráter de emergência, provavelmente devido à exploração ativa que está circulando, observaram os pesquisadores.

“A primeira coisa que se destacou para mim sobre esta atualização é que ela corrige apenas um único problema”, observou Casey Ellis, fundadora e CTO da Bugcrowd, por e-mail. “Isso é bastante incomum para o Google. Eles normalmente corrigem vários problemas nesses tipos de lançamentos, o que sugere que eles estão bastante preocupados e muito motivados para ver as correções no CVE-2022-1096 aplicadas em sua base de usuários o mais rápido possível.”

Ele também comentou sobre a velocidade do patch sendo lançado.

“A vulnerabilidade só foi relatada em 23 de março e, embora a equipe do Google Chrome tenda a ser bastante rápida no desenvolvimento, teste e lançamento de patches, a ideia de um patch para software implantado tão amplamente quanto o Chrome em 48 horas é algo que está em aberto. continuam a ser impressionados”, disse ele. “Especulativamente, sugiro que a vulnerabilidade tenha sido descoberta por meio da detecção de exploração ativa na natureza, e a combinação de impacto e potencialmente os atores mal-intencionados que a utilizam atualmente contribuíram para a rápida recuperação”.

Motor V8 na mira

O motor V8 foi atormentado por bugs de segurança e foi alvo de ciberataques muitas vezes no ano passado:

O último ano entregou um total desses 16 bugs Zero-day do Chrome:

CVE-2021-21148 – 4 de fevereiro, um tipo de bug sem nome na V8

CVE-2021-21224 – 20 de abril, um problema com confusão de tipos na V8 que poderia ter permitido que um invasor remoto executasse código arbitrário dentro de uma sandbox por meio de uma página HTML criada.

CVE-2021-30551 –- 9 de junho, um bug de confusão de tipos no V8 (também sob ataque ativo como Zero-day)

CVE-2021-30563 – 15 de julho, outro bug de confusão de tipos na V8.

CVE-2021-30633 – 13 de setembro, uma gravação fora dos limites na V8

CVE-2021-37975 – 30 de setembro, um bug use-after-free no V8 (também atacado como Zero-day)

CVE-2021-38003 – 28 de outubro, uma implementação inadequada na V8

CVE-2021-4102 – 13 de dezembro, um bug use-after-free na V8.

Os patches e correções para estes bugs do Chrome citados acima já foram aplicados.

Confira mais de nossos posts sobre vulnerabilidades e exposições conhecidas:

Pesquisadores compilam lista de vulnerabilidades mais usadas por gangues de ransomware

CISA oferece nova mitigação para bug PrintNightmare

Bug do WhatsApp CVE-2020-1910 pode ter levado à exposição dos dados do usuário

Fonte: threatpost.com