Google lança patch de emergência para o Chrome

O Google lançou o navegador Chrome 105.0.5195.102 para os sistemas operacionais Windows, macOS e Linux: a atualização é um patch de emergência e fecha outra vulnerabilidade de dia zero, o código para exploração que já foi desenvolvido.

O patch de emergência do Google Chrome

O problema CVE-2022-3075 é relatado como relacionado a “validação de dados insuficiente” no componente Mojo. Ele é responsável pela troca de mensagens entre os limites entre processos e intraprocessos. Outros detalhes não são divulgados por motivos de segurança.

O problema de segurança foi descoberto por uma fonte anônima em 30 de agosto, mas detalhes não foram divulgados pelo Google.

“O acesso aos detalhes e links do bug pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção”, disse o Google, que irá manter sigilo para dificultar o trabalho dos hackers.

O Google recebeu informações sobre a vulnerabilidade de uma parte independente. O boletim publicado não especifica se os invasores estão explorando ativamente a vulnerabilidade ou simplesmente desenvolveram uma exploração.

De qualquer forma, os usuários do Chrome são incentivados a baixar a atualização para proteger seus computadores. De referir que esta é a sexta vulnerabilidade de dia zero identificada neste navegador desde o início deste ano.

O que há de novo

O canal Stable foi atualizado para 105.0.5195.102 para Windows, Mac e Linux, que será lançado nos próximos dias/semanas. Uma lista completa de alterações nesta compilação está disponível no log.

Correções de segurança e recompensas

Nota: O acesso aos detalhes e links do bug pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção. Também manteremos restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos também dependem, mas ainda não foram corrigidos.

Esta atualização inclui 1 correção de segurança. Abaixo, destacamos as correções que foram contribuídas por pesquisadores externos. Consulte a página de segurança do Chrome para obter mais informações.

[$TBD][1358134] Alto CVE-2022-3075 : Validação de dados insuficiente no Mojo. Relatado por Anônimo em 30/08/2022

Também gostaríamos de agradecer a todos os pesquisadores de segurança que trabalharam conosco durante o ciclo de desenvolvimento para evitar que bugs de segurança chegassem ao canal estável.

Muitos de nossos bugs de segurança são detectados usando AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer ou AFL.

O Google está ciente dos relatórios de que existe um exploit para o CVE-2022-3075.

Interessado em mudar os canais de lançamento? Saiba como aqui. Se você encontrar um novo problema, informe-nos registrando um bug. O fórum de ajuda da comunidade também é um ótimo lugar para pedir ajuda ou aprender sobre problemas comuns.

na Política de Segurança de Conteúdo. Relatado por Anônimo em 26/05/2022

• [$2000][1336904] Baixo CVE-2022-3057: Implementação inadequada no iframe Sandbox. Relatado por Gareth Heyes em 16/06/2022
• [US$ 1.000][1337676] Baixo CVE-2022-3058: Use após o fluxo de login gratuito. Relatado por corvo no laboratório KunLun em 2022-06-20

Também gostaríamos de agradecer a todos os pesquisadores de segurança que trabalharam conosco durante o ciclo de desenvolvimento para evitar que bugs de segurança chegassem ao canal estável.

Como de costume, nosso trabalho contínuo de segurança interna foi responsável por uma ampla gama de correções:

• [1357881] Várias correções de auditorias internas, fuzzing e outras iniciativas

Muitos de nossos bugs de segurança são detectados usando AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, Control Flow Integrity, libFuzzer ou AFL.