Recentemente, o Google lançou a versão 86.0.4240.111 do Chrome. Uma das correções implementadas é um patch de segurança que corrige uma vulnerabilidade ativamente explorada.
Conhecido como CVE-2020-15999, o problema é descrito como um bug de corrupção de memória da biblioteca de renderização de fontes FreeType – que está incluída nas distribuições padrões do Chrome.
A vulnerabilidade foi descoberta por pesquisadores de segurança do Project Zero, uma das equipes de segurança interna do Google. Segundo Ben Hawkes, líder da equipe, um criminoso foi encontrado se aproveitando dessa falha para arquitetar ataques contra usuários do navegador.
Hawkes também afirma que alertou outros fornecedores de aplicativos que usam a mesma biblioteca a atualizarem seus softwares. De acordo com ele, essa foi a decisão mais comum, já que é possível que os criminosos direcionem os ataques para outras frentes.
Vulnerabilidade é bug de corrupção de memória da biblioteca de renderização de fontes FreeType . Foto: Ink Drop/ Shutterstock
Ataque descoberto
Apesar de revelar a vulnerabilidade, detalhes sobre as tentativas de exploração não foram divulgados. O Google geralmente fica meses analisando detalhes técnicos das explorações para detalhar as descobertas. No entanto, isso não foi feito até agora.
Apesar disso, com a correção visível no código-fonte do FreeType, espera-se que especialistas sejam capazes de fazer engenharia reversa para apresentar suas próprias conclusões sobre a ameaça nas próximas semanas.
Esse é o terceiro ataque arquitetado contra os usuários do Chrome dos últimos 12 meses. Os anteriores foram CVE-2019-13720 (outubro de 2019) e CVE-2020-6418 (fevereiro de 2020).
Via: ZDNet