Se ainda usa esse navegador você precisa atualizar o mais rápido possível O Google lançou uma atualização de emergência para o navegador Chrome que aborda três vulnerabilidades: CVE-2021-37974 , CVE-2021-37975 e CVE-2021-37976 . Os especialistas do Google consideram uma das vulnerabilidades crítica e as outras duas altamente perigosas.

O que é pior: de acordo com o Google, os cibercriminosos já exploraram duas dessas três vulnerabilidades. Portanto, o Google aconselha todos os usuários do Chrome a atualizarem imediatamente o navegador para a versão 94.0.4606.71. Essas vulnerabilidades também são relevantes para outros navegadores baseados no mecanismo Chromium - por exemplo, a Microsoft recomenda atualizar o Edge para a versão 94.0.992.38.

Por que essas vulnerabilidades no Google Chrome são perigosas

CVE-2021-37974 e CVE-2021-37975 são vulnerabilidades de classe de uso pós-livre (UAF) - eles exploram o uso incorreto de memória heap e, como resultado, podem levar à execução arbitrária de código no computador de destino.

O primeiro, CVE-2021-37974, está relacionado ao componente Navegação segura, um subsistema do Google Chrome que avisa os usuários sobre sites e downloads não seguros. A classificação de gravidade CVSS v3.1 para esta vulnerabilidade é de 7,7 em 10.

A segunda vulnerabilidade, CVE-2021-37975, foi encontrada no motor V8 JavaScript do Crome. Este é considerado o mais perigoso de todos os três - 8,4 na escala CVSS v3.1, o que o torna uma vulnerabilidade de risco "crítica". Malfeitores desconhecidos já estão usando essa vulnerabilidade em seus ataques aos usuários do Chrome.

A causa da terceira vulnerabilidade, CVE-2021-37976, é a superexposição de dados causada pelo núcleo do Google Chrome. É um pouco menos perigoso - 7,2 na escala CVSS v3.1, mas também já está sendo usado por cibercriminosos.

Como os cibercriminosos podem explorar essas vulnerabilidades

A exploração de todas as três vulnerabilidades requer a criação de uma página da web maliciosa. Tudo o que os invasores precisam é criar um site com uma exploração incorporada e uma maneira de atrair as vítimas para ela. Como resultado, as explorações de duas vulnerabilidades de uso após a liberação permitem que os invasores executem códigos arbitrários nos computadores de usuários do Chrome não corrigidos que acessaram a página. Isso pode levar ao comprometimento de seu sistema. Uma exploração para a terceira vulnerabilidade, CVE-2021-37976, permite que os atacantes obtenham acesso às informações confidenciais da vítima.

O Google provavelmente revelará mais detalhes sobre as vulnerabilidades depois que a maioria dos usuários atualizar seus navegadores. Em qualquer caso, não vale a pena atrasar a atualização - muito melhor fazê-lo o mais rápido possível.

Como se manter seguro

A primeira etapa para todos é atualizar os navegadores em todos os dispositivos que têm acesso à Internet. Muitas vezes, a atualização é instalada automaticamente quando o navegador é reiniciado, no entanto, muitos usuários não reiniciam o computador por um longo tempo, então o navegador pode permanecer vulnerável por vários dias ou até semanas. Em qualquer caso, recomendamos verificar a versão do Chrome. Veja como fazer isso: clique no botão Personalizar e controlar o Google Chrome no canto superior direito da janela do navegador e escolha Ajuda - Sobre o Google Chrome . Se a versão do seu navegador não for a mais recente disponível, o Chrome iniciará automaticamente a atualização.

Para proteção extra, recomendamos que os usuários instalem soluções de segurança em todos os dispositivos com acesso à Internet. Dessa forma, mesmo que você seja pego sem um navegador atualizado, as tecnologias de proteção proativa irão minimizar a possibilidade de exploração de vulnerabilidades com sucesso.

Também recomendamos que os funcionários dos departamentos de segurança da informação corporativa usem soluções de segurança em todos os dispositivos , monitorem as atualizações de segurança e empreguem a entrega automática de atualizações e o sistema de controle. Também seria razoável priorizar a instalação de atualizações do navegador.