Se usa o browser Chrome da Google em Windows, Linux ou macOS, certifique-se de que tem a versão mais recente (98.0.4758.102). Isto porque a mais recente actualização inclui resoluções para vários problemas de segurança do browser, incluindo uma actualização de emergência para um vulnerabilidade que, segundo a Google, já pode estar a ser explorada por atacantes.
Sabe-se que esta vulnerabilidade tem a referência CVE-2022-0609, mas, para além disto, não foram divulgados mais detalhes acerca dela. Muitas vezes, as empresas não publicam todos os detalhes acerca de algumas vulnerabilidades que vão sendo descobertas, até a maioria dos utilizadores terem tido tempo de aplicar as actualizações do software, para não chamar a atenção de potenciais atacantes que as possam vir a usar.
A única descrição, para além da referência CVE, é vulnerabilidade “Use after free in Animation”, que foi descoberta por Adam Weidemann e Clément Lecigne do Threat Analysis Group da Google.
Ao todo, a actualização mais recente para o Chrome inclui resolução para 11 problemas de segurança, cujo risco é considerado elevado.
Os problemas de segurança são:
High: CVE-2022-0603: Use after free File Manager. Reportado por Chaoyuan Peng (@ret2happy) em 22/1/2022
High: CVE-2022-0604: Heap buffer overflow Tab Groups. Reportado por Krace em 24/11/2021
High: CVE-2022-0605: Use after free API da Webstore. Reportado por Thomas Orlita em 13/1/2022
High: CVE-2022-0606: Use after free ANGLE. Reportado por Cassidy Kim do Amber Security Lab, OPPO Mobile Telecommunications Corp. Ltd. em 17/1/2022
High: CVE-2022-0607: Use after free GPU. Reportado por 0x74960 em 17/9/2021
High: CVE-2022-0608: Integer overflow Mojo. Reportado por Sergei Glazunov do Google Project Zero em 16/11/2021
High: CVE-2022-0609: Use after free in Animation. Reportado por Adam Weidemann e Clément Lecigne do Threat Analysis Group da Google em 10/2/2022
Medium: CVE-2022-0610: Implementação não apropriada na API do Gamepad. Reportado por Anonymous em 8/1/2022
Algumas destes problemas são bugs “Use After Free”, que estão relacionados com a corrupção da memória e são algo comuns no mundo dos hacking de browsers. Neste caso, as falhas UAF afectam o File Manager, a API da Webstore API, ANGLE, GPU e Animation. A Google confirmou que estão disponíveis ferramentas para explorar esta última vulnerabilidade.
Se quiser actualizar, pode esperar pelo processo automático, mas, neste caso, talvez seja boa ideia forçar a actualização. Basta clicar nos três pontos verticais, que estão no canto superior direito, para aceder ao menu do Chrome. Depois, clique em ‘Definições’ e por fim em ‘Acerca do Chrome’. O processo de actualização é automático a partir daqui. Quando acabar, basta reiniciar o browser.
