Na semana passada, a equipa do Google Chrome anunciou no seu blog oficial o lançamento de uma atualização para o browser Chrome tanto para Windows, Mac como Linux.
Esta última versão do Chrome (77.0.3865.90) conta com patches de segurança para quatro vulnerabilidades reportadas entre agosto e setembro deste ano. Destas vulnerabilidades, uma foi catalogada como crítica. As outras três foram consideradas de alto risco.
No caso da vulnerabilidade crítica (CVE-2019-13685), a mesma foi reportada a 5 de setembro por Khali Zhani. Esta vulnerabilidade permitia a um hacker assumir o controlo de um equipamento infetado remotamente. As outras três são a CVE-2019-13688, CVE-2019-13687 e CVE-2019-13686. As duas primeiras foram reportadas por Man Yue Mo e a terceira por Brendon Tiszka.
De acordo com a Google, no seu blog, o acesso aos detalhes de cada uma das vulnerabilidades reportadas e reparadas no Chrome vai manter-se reservado. O objetivo é que a maioria dos utilizadores façam a atualização do browser para a nova versão, e fiquem assim menos vulbneráveis.
A exploração destas vulnerabilidades permitiria a um atacante executar código de forma arbitrária, no contexto do browser. A única coisa que necessitaria era conseguir que a vítima acedesse a um site web especialmente concebido no navegador. Não implicava qualquer outra interação com o site, explica TheHackerNews.
Como parte do seu programa de bug county, a Google pagou a Man Yue Mo cerca de 20.000 dólares pelas duas vulnerabilidades reportadas. O valor de Brendon Tiszka estava ainda apor definir, de acordo com o mesmo meio.
Para mais informação, visite o site oficial do programa de bug bounty do Google Chrome, onde pode encontrar informação detalhada sobre os montantes e recompensas.
 conta com patches de segurança para quatro vulnerabilidades reportadas entre agosto e setembro deste ano, das quais uma foi catalogada como crítica, enquanto que as outras três são consideradas de alto risco.){kind=link}