Governo dos EUA emite alerta após Google corrigir falha grave no navegador Chrome

Foto: Divulgação

A Agência de Cibersegurança e Segurança de Infraestrutura (CISA, na sigla em inglês) emitiu um alerta após o Google divulgar uma atualização de segurança do navegador Google Chrome que corrige uma falha de segurança considerada grave. De acordo com o órgão e com o Google, já existe um código capaz de explorar a falha circulando na web.

Caso seja explorada, a vulnerabilidade permite que um site modifique o sistema do visitante, instalando vírus ou realizando outras mudanças.
Se o ataque for combinado com uma falha no sistema operacional, o invasor é capaz de obter acesso completo ao sistema.

A atualização deve chegar automaticamente, mas também pode ser manualmente instalada acessando o menu três pontos > Ajuda > Sobre o Chrome no navegador.

A versão atualizada, número 86.0.4240.183, corrige outras nove vulnerabilidades, mas nenhuma é tão grave quanto um problema existente no “V8”, o componente do Chrome responsável pelo processamento de código JavaScript.

Em situações normais, as ações do JavaScript devem permanecer confinadas às páginas que trazem o respectivo código. Com esta falha, o JavaScript pode furar o isolamento imposto pelo navegador e modificar outros aspectos do site além da própria página. O problema existe no Chrome para Windows, macOS e Linux.

Falha diferente no Android

O Chrome para Android também recebeu uma atualização (versão número 86.0.4240.185) para corrigir uma falha diferente e específica para a interface do navegador nesse sistema.

De acordo com o Google, também já existe um código para explorar esta vulnerabilidade, o que significa que a atualização deve ser instalada o quanto antes. É possível que ela já tenha sido utilizada em ataques, mas não foram informados detalhes. No Android, as atualizações são instaladas automaticamente pelo aplicativo da Play Store.

Semana de falhas e ataques

Esta é a segunda atualização do Chrome em duas semanas para corrigir uma falha grave no navegador. A primeira atualização, na semana passada, eliminou uma brecha no processamento de fontes (tipos de letras) no navegador.

A falha chegou ao navegador por meio da Freetype, um código “base” muito utilizado em vários programas para essa finalidade – o que exige que cada software seja atualizado para incluir a versão mais nova do Freetype.

De acordo com o Google, essa brecha no processamento de fontes foi utilizada em ataques acompanhada de uma falha no Windows, mas a vulnerabilidade no sistema da Microsoft só será corrigida no dia 10 de novembro – a próxima data para as atualizações programadas da empresa.

Não há detalhes sobre a origem desses ataques.

A Adobe também lançou uma atualização de segurança para os produtos da linha Acrobat, utilizados para visualizar e editar documentos no formato PDF. A atualização também corrige falhas de segurança do software.

No entanto, o programa também trouxe uma mudança permanente: a remoção dos componentes que permitiam a leitura de conteúdo Flash embutido em documentos. Considerado obsoleto, o Flash está sendo gradualmente descontinuado.

A mudança, no entanto, pode afetar a compatibilidade com documentos antigos que dependem da tecnologia. Para usuários da Creative Cloud, as atualizações do Acrobat DC são baixadas separadamente das atualizações dos outros produtos do