O Chrome emite uma correção urgente de dia zero – atualize agora!

O Google lançou várias correções de segurança para o código do navegador Chrome e Chromium no início desta semana…

…apenas para receber um relatório de vulnerabilidade de pesquisadores da empresa de segurança cibernética Avast no mesmo dia.

A resposta do Google foi empurrar para fora outra atualização o mais rápido possível: uma correção de um bug lidando com CVE-2022-3723, descrito com o habitual legalismo "não podemos nem confirmar nem negar" do Google dizendo:

O Google está ciente dos relatos de que existe um exploit para o CVE-2022-3723.

(A Apple também usa regularmente um sabor similarmente desengajado de notificação OMG-todo mundo-há-um-0-dia, usando palavras no sentido de que “está ciente de um relatório de que [um] problema pode ter sido ativamente explorado”.)

Esta atualização do Chrome significa que você está procurando um número de versão do 107.0.5304.87 ou mais tarde.

Confusamente, esse é o número de versão esperado no Mac ou Linux, enquanto os usuários do Windows podem obter 107.0.5304.87 or 107.0.5304.88, e, não, não sabemos por que existem dois números diferentes lá.

Por que vale a pena, a causa dessa falha de segurança foi descrita como “confusão de tipos em V8”, que é um jargão para “houve um bug explorável no mecanismo JavaScript que poderia ser acionado por código não confiável e dados não confiáveis ​​que vieram aparentemente inocentemente de fora”.

Falando vagamente, isso significa que é quase certo que apenas visitar e visualizar um site com armadilhas – algo que não deveria levá-lo a perigo por conta própria – pode ser suficiente para lançar código não autorizado e implantar malware em seu dispositivo, sem nenhum pop-up ou outros avisos de download.

É o que se conhece na gíria do cibercrime como instalação drive-by.

“Ciente dos relatórios”

Estamos supondo, dado que uma empresa de segurança cibernética relatou essa vulnerabilidade e dada a publicação quase imediata de uma atualização de um bug, que a falha foi descoberta durante uma investigação ativa sobre uma invasão no computador ou rede de um cliente.

Após uma invasão inesperada ou incomum, onde os caminhos de entrada óbvios simplesmente não aparecem nos logs, os caçadores de ameaças geralmente se voltam para os detalhes dos logs de detecção e resposta à sua disposição, tentando juntar as peças do sistema. especificidades de nível do que aconteceu.

Dado que as explorações de execução remota de código (RCE) do navegador geralmente envolvem a execução de código não confiável que veio de uma fonte não confiável de maneira inesperada e lançou um novo thread de execução que normalmente não apareceria nos logs…

…o acesso a dados forenses de “resposta a ameaças” suficientemente detalhados pode não apenas revelar como os criminosos entraram, mas também exatamente onde e como no sistema eles conseguiram contornar as proteções de segurança que normalmente estariam em vigor.

Simplificando, trabalhar de trás para frente em um ambiente no qual você pode repetir um ataque várias vezes e observar como ele se desenrola, muitas vezes revelará a localização, se não o funcionamento exato, de uma vulnerabilidade explorável.

E, como você pode imaginar, remover com segurança uma agulha de um palheiro é muito, muito mais fácil se você tiver um mapa de todos os objetos de metal pontiagudos no palheiro para começar.

Resumindo, o que queremos dizer é que quando o Google diz “está ciente dos relatórios” de um ataque lançado pela exploração do Chrome na vida real, estamos prontos para assumir que você pode traduzir isso em “o bug é real, e realmente pode ser explorado, mas como não investigamos o sistema hackeado na vida real, ainda estamos em terreno seguro se não formos diretos e dissermos: 'Ei, pessoal, é um dia 0'. ”

A boa notícia sobre descobertas de bugs desse tipo é que eles provavelmente se desdobraram dessa maneira porque os invasores queriam manter a vulnerabilidade e os truques necessários para explorá-la em segredo, sabendo que se gabar da técnica ou usá-la muito amplamente aceleraria sua descoberta e reduzindo assim seu valor em ataques direcionados.

As explorações de RCE de navegador de hoje podem ser extremamente complexas para descobrir e caras para adquirir, considerando o esforço que organizações como Mozilla, Microsoft, Apple e Google colocam para proteger seus navegadores contra truques de execução de código indesejados.

Em outras palavras, o tempo de atualização rápido do Google e o fato de que a maioria dos usuários receberá a atualização de forma rápida e automática (ou pelo menos semiautomaticamente), significa que o resto de nós agora pode não apenas alcançar os bandidos, mas voltar à frente deles.

O que fazer?

Mesmo que o Chrome provavelmente se atualize, sempre recomendamos verificar de qualquer maneira.

Como mencionado acima, você está procurando 107.0.5304.87 (Mac e Linux), ou um dos 107.0.5304.87 e 107.0.5304.88 (Janelas).

Use Mais > Ajuda > Sobre o Google Chrome > Atualize o Google Chrome.

O sabor Chromium de código aberto do navegador, pelo menos no Linux, também está atualmente na versão 107.0.5304.87.

(Se você usa o Chromium no Linux ou um dos BSDs, pode ser necessário verificar novamente com seu criador de distribuição para obter a versão mais recente.)

Não temos certeza se a versão Android do Chrome foi afetada e, em caso afirmativo, qual número de versão deve ser observado.

Você pode ficar de olho nos próximos anúncios de atualização para Android no Google Chrome Releases blog.

Estamos assumindo que os navegadores baseados em Chrome no iOS e iPadOS não são afetados, porque todos os navegadores da Apple App Store são obrigados a usar o subsistema de navegação WebKit da Apple, que não usa o mecanismo JavaScript V8 do Google.

Curiosamente, no momento da redação [2022-10-29T14:00:00Z], as notas de lançamento da Microsoft para o Edge descreviam uma atualização datada de 2022/10/27 (dois dias após esse bug ter sido relatado pelos pesquisadores), mas não liste CVE-2022-3723 como uma das correções de segurança nessa compilação, que foi numerada 107.0.1418.24.

Estamos, portanto, assumindo que procurar qualquer versão do Edge maior que isso indicará que a Microsoft publicou uma atualização contra esse buraco.

Você pode ficar de olho nos patches do Edge via Microsoft Atualizações de segurança de borda Disputas de Comerciais.

---