Por Redação O Sul | 4 de novembro de 2020
A Agência de Cibersegurança e Segurança de Infraestrutura (CISA, na sigla em inglês) dos Estados Unidos emitiu um alerta após o Google divulgar uma atualização de segurança do navegador Google Chrome que corrige uma falha de segurança considerada grave.
De acordo com o órgão e com o Google, já existe um código capaz de explorar a falha circulando na web.
Caso seja explorada, a vulnerabilidade permite que um site modifique o sistema do visitante, instalando vírus ou realizando outras mudanças.
Se o ataque for combinado com uma falha no sistema operacional, o invasor é capaz de obter acesso completo ao sistema.
A atualização deve chegar automaticamente, mas também pode ser manualmente instalada acessando o menu três pontos – Ajuda – Sobre o Chrome no navegador.
A versão atualizada, número 86.0.4240.183, corrige outras nove vulnerabilidades, mas nenhuma é tão grave quanto um problema existente no “V8”, o componente do Chrome responsável pelo processamento de código JavaScript.
Em situações normais, as ações do JavaScript devem permanecer confinadas às páginas que trazem o respectivo código. Com esta falha, o JavaScript pode furar o isolamento imposto pelo navegador e modificar outros aspectos do site além da própria página.
O problema existe no Chrome para Windows, macOS e Linux.
Falha diferente no Android
O Chrome para Android também recebeu uma atualização (versão número 86.0.4240.185) para corrigir uma falha diferente e específica para a interface do navegador nesse sistema.
De acordo com o Google, também já existe um código para explorar esta vulnerabilidade, o que significa que a atualização deve ser instalada o quanto antes. É possível que ela já tenha sido utilizada em ataques, mas não foram informados detalhes.
No Android, as atualizações são instaladas automaticamente pelo aplicativo da Play Store.
Semana de falhas
Esta é a segunda atualização do Chrome em duas semanas para corrigir uma falha grave no navegador. A primeira atualização, na semana passada, eliminou uma brecha no processamento de fontes (tipos de letras) no navegador.
A falha chegou ao navegador por meio da Freetype, um código “base” muito utilizado em vários programas para essa finalidade – o que exige que cada software seja atualizado para incluir a versão mais nova do Freetype.
De acordo com o Google, essa brecha no processamento de fontes foi utilizada em ataques acompanhada de uma falha no Windows, mas a vulnerabilidade no sistema da Microsoft só será corrigida no dia 10 de novembro – a próxima data para as atualizações programadas da empresa. Não há detalhes sobre a origem desses ataques. As informações são do portal de notícias G1.
