Um técnico de segurança da Web, Rajvardhan Agarwal, postou em sua conta do Twitter um link do GitHub para o que parece ser uma nova falha em navegadores que dependem de Cromo: o mecanismo de botão de navegadores como Chrome, Microsoft Edge, Vivaldi e outros.
A vulnerabilidade é definida como tipo 0-dia exatamente porque faz zero dias desde que foi reconhecido pelo desenvolvedor. Portanto, ele tem "zero dias" para consertar a falha antes que alguém possa escrever um exploit para ela. No momento em que o bug é corrigido, o dia 0 perde parte de sua importância original porque não pode mais ser usado em sistemas atualizados.
Não há nada com o que se preocupar
Agarwal ainda escreve que a vulnerabilidade foi eliminada na última atualização do mecanismo JavaScript V8. No entanto, ainda não sabemos quando esta atualização chegará aos nossos dispositivos. A próxima versão do Google Chrome será a 90 e, é claro, fará a mudança que corrige essa vulnerabilidade. A data de lançamento ainda não foi definida, mas é esperada em curto prazo.
Só estou aqui para largar um Chrome 0day. Sim, você leu certo.https: //t.co/sKDKmRYWBP pic.twitter.com/PpVJrVitLR
- Rajvardhan Agarwal (@ r4j0x00) 12 de abril de 2021
Esta demonstração mostra que a vulnerabilidade, se inserida no JavaScript do navegador, pode iniciar a calculadora. Este é um pequeno exemplo para mostrar que dentro do navegador, você pode executar remotamente qualquer executável.
Esta vulnerabilidade é a mesma utilizada por pesquisadores Bruno Keith e Niklas Baumstark, da segurança de fluxo de dados, por hackear o Google Chrome e o Microsoft Edge na corrida dos hackers, del Pwn2Own 2021
Junte-se à nossa comunidade no Facebook, ou ao nosso canal Telegram para ficar por dentro de todas as novidades.