Pela segunda vez desde março e pela quarta vez neste ano, a Google lançou um patch para corrigir uma vulnerabilidade zero-day que está a ser explorada ativamente por cibercriminosos.
No início de março, a Google lançou a versão 89.0.4389.72 do Google Chrome e poucos dias depois lançou a versão 89.0.4389.90 para a versão desktop para Windows, Linux e Mac. Para esta última versão, a empresa corrigiu uma nova vulnerabilidade zero-day, registada como CVE-2021-21193, e, além disso, informa que está ciente da existência de um exploit que está a ser usado ativamente.
Na atualização anterior, a Google corrigiu 47 vulnerabilidades, incluindo a CVE-2021-21166, enquanto nesta atualização a empresa corrige apenas cinco vulnerabilidades.
No caso da falha zero-day corrigida nesta última atualização, a vulnerabilidade foi classificada como de alta prioridade e é uma vulnerabilidade do tipo “use after free” no mecanismo de renderização de código aberto conhecido como Blink.
Assim como na atualização anterior, a empresa não forneceu mais detalhes sobre a falha ou os ataques até o lançamento da atualização. De acordo com a Common Weakness Enumeration (CWE), este tipo de vulnerabilidade pode ter várias consequências, como a execução de código de forma arbitrária. Neste caso, em computadores que usam uma versão desatualizada do navegador.
Tal como mencionado acima, esta é a segunda vulnerabilidade zero-day explorada ativamente por cibercriminosos desde março no Google Chrome e que foi corrigida pela Google. Além disso, é a quarta falha zero-day de 2021, incluindo as cinco vulnerabilidades corrigidas entre outubro e novembro de 2020 que também estavam a ser exploradas ativamente.
A recomendação é que todos os utilizadores do Google Chrome atualizem o navegador para a versão mais recente o mais rápido possível.