Bugs no Chrome, Android, iOS e Windows eram usados para espionar internautas
Por Ramon de Souza | 10 de Novembro de 2020 às 22h20
Ao longo das últimas semanas, os pesquisadores do Project Zero — laboratório independente de segurança do Google — alertaram para a existência de diversas vulnerabilidades graves no navegador Chrome e nos sistemas operacionais Android, iOS e Windows. O problema é que, embora as falhas já tenham sido corrigidas pelas empresas responsáveis, tudo indica que elas já estavam sendo exploradas por criminosos.
- Identificados cibercriminosos que mais criaram ameaças em brechas de "dia zero"
- Google já detectou 11 falhas de segurança "de fábrica" em 2020
- Falha "zero day" deixa o Google Chrome exposto; Entenda!
Segundo o Gigante das Buscas, todos os bugs em questão foram encontrados sendo “ativamente explorados em estado selvagem”, um termo utilizado pelo setor para se referir a brechas que estejam sendo utilizadas por atores maliciosos para fins malignos. Tudo indica que, neste caso, as falhas foram empregadas em campanhas de espionagem, mas não se sabe por quem e nem quem seriam as possíveis vítimas.
Embora os bugs existam em produtos diferentes, eles podem ser combinados em cadeia para escapar de sandboxes e tomar controle de todo o sistema operacional. No total, estamos falando de sete vulnerabilidades, sendo que a primeira delas foi encontrada no Chrome e registrada pelo código CVE-2020-15999; trata-se de um problema no módulo open source de renderização FreeType.
Em seguida, surgiu o bug CVE-2020-17087 no Windows, que foi considerado um problema de escalação de privilégios; os CVE-2020-16009 e CVE-2020-16010 (no Chrome e no Android), de execução remota de códigos; e, por fim, três brechas críticas no iOS que não receberam registro público. Uma delas dizia respeito a uma biblioteca de fontes similar à FreeType, enquanto as outras duas eram falhas no kernel (o “coração” do sistema operacional).
Como dissemos anteriormente, todas as brechas já foram corrigidas em atualizações disponibilizadas pela Apple, Microsoft e Google; porém, muita gente ainda tem o costume de ignorar tais patches, o que os mantém vulneráveis a ataques cibernéticos.
Fonte: VICE