Recomenda-se atualizar sua versão do Chrome o mais rápido possível.

O Google alertou sobre relatórios de que uma vulnerabilidade de dia zero no navegador Chrome está sendo explorada ativamente.

A vulnerabilidade, rastreada como CVE-2021-21166, foi relatada por Alison Huffman da equipe de Pesquisa de Vulnerabilidade do Navegador da Microsoft em 11 de fevereiro e é descrita como um "problema de ciclo de vida do objeto em áudio".

O Google rotulou a vulnerabilidade como uma falha de segurança de "alta" gravidade e corrigiu o problema na versão mais recente do Chrome.

Junto com CVE-2021-21166, Huffman também relatou recentemente outro bug de alta gravidade, CVE-2021-21165, outro problema de estilo de vida de objeto em problema de áudio, e CVE-2021-21163, um problema de validação de dados insuficiente no Modo Leitor.

A gigante da tecnologia não revelou mais detalhes sobre como o CVE-2021-21166 está sendo explorado, ou por quem.

O anúncio do Google, publicado na terça-feira, também marcou o lançamento do Chrome 89 para o canal de desktop estável para máquinas Windows, Mac e Linux, que atualmente está sendo lançado. Os usuários devem atualizar para o Chrome 89.0.4389.72 assim que estiver disponível.

A versão do Chrome 89.0.4389.72 também contém uma série de outras correções de segurança e melhorias do navegador. No total, 47 bugs foram corrigidos, incluindo um estouro de buffer de heap de alta gravidade em TabStrip (CVE-2021-21159), outro estouro de buffer de heap em WebAudio (CVE-2021-21160) e um problema de uso após livre em WebRTC (CVE-2021-21162). Um total de oito vulnerabilidades são consideradas de alta gravidade.

"O acesso aos detalhes e links do bug pode ser mantido restrito até que a maioria dos usuários seja atualizada com uma correção", acrescentou o Google. "Também manteremos as restrições se o bug existir em uma biblioteca de terceiros da qual outros projetos dependam, mas ainda não foram corrigidos."

Em 4 de fevereiro, o Google lançou uma correção para CVE-2021-21148, um estouro de buffer de heap no motor Chrome V8 JavaScript que também está sendo explorado ativamente . Essa falha de segurança de alta gravidade foi relatada por Mattias Buelens em 24 de janeiro.

Esta semana, a Microsoft lançou atualizações urgentes para quatro vulnerabilidades de dia zero no Exchange Server. A Microsoft diz que os bugs estão sendo explorados em "ataques direcionados limitados" e está pedindo aos usuários que atualizem o mais rápido possível.

Fonte: ZDNet